1 / 139 - trăim.ro
TRANSCRIPT
1 / 139
n
2 / 139
D I N A M I C A S E C U R I T Ă Ț I I C I B E R N E T I C E
Repere de gestionare holistică a
securității în context tehnologic
Eugen Florian POPESCU
Specialist în securitate cibernetică, CISSP, PMP
GĂEȘTI
2021
ISBN 978-973-0-33570-5
3 / 139
Titlul lucrării: Dinamica securității cibernetice. Repere de gestionare
holistică a securității în context tehnologic
ISBN 978-973-0-33570-5
Această carte este publicată în format electronic, pe site-ul web:
https://traim.ro
Anul publicării: 2021
Această carte este protejată prin drepturi de autor. Orice preluare și
utilizare a conținutului acesteia poate fi realizată numai prin citare.
Pentru referirea cărții prin citare, pot fi utilizate următoarele repere de
identificare:
POPESCU, Eugen Florian. Dinamica securității cibernetice. Repere
de gestionare holistică a securității în context tehnologic. Online,
2021. https://traim.ro
1 / 139
CUPRINS
TEHNOLOGIA ........................................................................................ 6
I. Înțelegerea tehnologiei ................................................................... 6
Esența ................................................................................................... 6
Ambivalența ......................................................................................... 7
Logica funcționării ............................................................................... 8
II. Ciclul de viață al tehnologiei .......................................................... 9
Securitatea în tehnologie ................................................................... 9
Lipsa de conștiință ............................................................................ 13
III. Locul securității cibernetice ...................................................... 15
Securitate & Siguranță ..................................................................... 17
Securitate & Apărare ........................................................................ 20
Caracterul orizontal........................................................................... 23
IV. Rolul securității cibernetice ...................................................... 24
Două direcții ....................................................................................... 25
Prevenția și reacția ........................................................................... 26
Predicția .............................................................................................. 29
V. Principii și raționamente ............................................................... 30
Inconștiența ........................................................................................ 30
Trezirea............................................................................................... 32
Înțelegerea ......................................................................................... 33
Responsabilizarea ............................................................................ 35
Zaua slabă ......................................................................................... 36
Percepția criticității ............................................................................ 37
Mentalitatea de implementare ........................................................ 40
2 / 139
SECURITATEA CIBERNETICĂ APLICATĂ ........................... 44
VI. Moștenirea și actualizarea ....................................................... 44
Securitatea informației ..................................................................... 44
Migrarea spre securitatea industrială ............................................ 45
Adaptarea la tehnologiile emergente ............................................. 48
Elemente de protejat ........................................................................ 50
Eroarea de concept .......................................................................... 51
VII. Organizarea ................................................................................ 53
Riscuri și incidente ............................................................................ 53
Gândirea strategică .......................................................................... 55
Activități .............................................................................................. 57
VIII. Capabilitățile ............................................................................... 61
Echilibrul de capabilități ................................................................... 61
Capabilități umane ............................................................................ 61
Capabilități tehnologice .................................................................... 66
Apărarea în adâncime ...................................................................... 68
Măsuri ................................................................................................. 72
IX. Implicații practice ....................................................................... 75
Climatul conceptual .......................................................................... 76
Climatul legislativ .............................................................................. 86
Climatul factual .................................................................................. 95
SECURITATEA CIBERNETICĂ COMPLEMENTARĂ ..... 105
X. Efectele generate de tehnologie ............................................... 109
Psihologia cibernetică .................................................................... 112
Sociologia cibernetică .................................................................... 117
Ecologia cibernetică ....................................................................... 119
3 / 139
XI. Organizarea generată de tehnologie .................................... 120
Etica .................................................................................................. 121
Repere juridice ................................................................................ 126
Transformarea digitală ................................................................... 127
Adaptarea educației ........................................................................ 128
Orientarea deciziilor ........................................................................ 129
PERSPECTIVE .................................................................................. 132
XII. Tendințe de evoluție ................................................................ 132
Autonomia ........................................................................................ 132
Topici de evoluție ............................................................................ 134
Necesități de adaptare ................................................................... 135
Încrederea ........................................................................................ 138
4 / 139
Îi dedic această carte lui George Stan, care m-a ajutat să
descopăr domeniul psihologiei cibernetice. Explorarea influenței pe
care tehnologia o aduce asupra omului mi-a oferit o nouă înțelegere
asupra securității cibernetice, orientându-mi atenția spre necesitatea
asigurării unui echilibru pe termen lung în relația om-tehnologie-
natură.
5 / 139
Mulțumiri
Mulțumesc familiei mele pentru sprijin, înțelegere și răbdare.
De asemenea, mulțumesc celor care m-au îndrumat în
cunoașterea domeniului securității cibernetice, precum și profesorilor
care au jucat un rol important în alegerea drumului meu profesional
(cu mențiuni speciale pentru: Nicoleta Richea, Gheorghe Gavrilă,
Cornel Ioana, Alexandru Șerbănescu și Iolanda Mitrofan).
Mulțumesc încăpățânaților pasionați de securitatea cibernetică
(majoritatea, colegi și prieteni), pentru care mai importantă este
implementarea tehnică corectă a domeniului, decât concursurile de
orgolii și impedimentele de factură umană. Se știu ei care-s.
În mod implicit, au avut o influență importantă toți cei care m-
au încurajat să scriu. Deopotrivă, le mulțumesc și acestora, precum
și tuturor celor care se încumetă să citească această carte.
6 / 139
TEHNOLOGIA
I. Înțelegerea tehnologiei
Esența
Tehnologia este orice mijloc care facilitează îndeplinirea unui
scop sau rezolvarea unei probleme. De cele mai multe ori, satisface
nevoi, oferă funcționalitate; uneori oferă confort și asigură plăcere,
joacă, destindere; alteori oferă omului o fundație de explorare a vieții
și a existenței în care trăiește, găzduiește încercări/ descoperiri/
testări/ demarcări ale limitei dintre posibil și imposibil, hrănește
curiozitatea privind limitele de competență și de creativitate umană,
ajungând să creeze nevoi pe care omul nici măcar nu le poate intui
înainte de parcurgerea efectivă a experienței.
Născută din imaginație și creativitate, tehnologia modelează
deopotrivă conținuturi materiale și abstracte. Tehnologie este orice
instrument sau creație funcțională (infrastructură, utilaje, instrumente,
mașinării, dispozitive informaționale hardware), cât și orice produs
abstract care compune mediul virtual (Internetul, aplicațiile software,
media sociale, inteligența artificială) sau care ne asigură suport
pentru organizarea noastră psihică individuală (limbajul și abilitățile
de comunicare, abilitățile umane prin care transpunem în spațiul
material conținuturile abstracte, cogniția, algoritmica, logica,
educația) și colectivă (legile, regulile, cutumele, tradițiile, obiceiurile,
respectul și condițiile de interacțiune reciprocă, sistemele de
organizare statală, politica, doctrinele, religiile, ideologiile, știința).
Sub oricare formă se manifestă, tehnologia – așa cum o
cunoaștem și o percepem în spațiul în care trăim – este un produs al
minții și al mâinilor noastre, o exteriorizare a viziunii umane în mediul
exterior. Uneori asigură facilități spontane, care se consumă o dată
cu prima manifestare, alteori deprinde permanență și consistență,
dobândind capacități de automatizare. Uneori reproduce întocmai
manifestările umane, alteori oferă amplificare și perpetuare,
explorând diverse scale de materializare la care omul nu are acces
prin simpla prezență a corpului său natural.
7 / 139
În orice caz, tehnologia preia și transpune în spațiul exterior
conținuturi și caracteristici ale creatorului său. Tot ce suntem noi este
și tehnologia noastră. Toate aspectele bune sau rele sunt gravate în
manifestările tehnologice în mod nediscriminatoriu. Toată energia,
gândirea, verticalitatea, corectitudinea, responsabilitatea, conștiința
noastră sunt preluate în mod automat prin tehnologie și propagate în
mediul înconjurător.
Tehnologia este ca o formă secundară a manifestării noastre,
o reverberație care se propagă în spațiul în care trăim, dincolo de
limitele și de capacitățile noastre de control și gestiune directe. Este
oglinda noastră, o copie, un surogat, o dublură, un reprezentant fidel,
un avocat, un executant care ne împrumută și ne multiplică
potențialul, interesele și inerția, și le manifestă în mod autonom în
exteriorul nostru.
Ambivalența
Percepția că tehnologia ne este doar instrument – în sens
pozitiv/ constructiv/ util – este parțială. În egală măsură, tehnologia
este și o armă, un mecanism de distrugere și de manifestare a
potențialului nostru negativ. Conștiința tehnologiei este desprinsă din
conștiința noastră; ea nu are o putere de discernământ superioară
creatorului său. Tot ceea ce noi suntem și manifestăm – prin
gândurile, vorbele și faptele noastre – este și tehnologia noastră.
Împrumută în totalitate caracteristicile și tendințele firii noastre.
Iar dacă ne bucurăm când vedem că preia și propagă
conținuturile noastre bune, ar trebui să devenim precauți și îngrijorați
atunci când conștientizăm că același lucru se întâmplă și cu
conținuturile de care nu suntem neapărat mândri/ care nu ne fac bine/
care nu ne ajută să evoluăm și care dăunează mediului înconjurător.
Tehnologia preia în mod autonom și amplifică efectele noastre
distructive, supunându-ne atât pe noi, cât și ecosistemul nostru, la
riscuri ce pot provoca disconfort, durere, daune, distrugeri și
dezechilibre.
Deși aceste caracteristici și manifestări sunt naturale, putem
considera că – din punct de vedere al intenționalității cu care o
construim – tehnologia capătă o serie de scopuri secundare, nedorite,
vătămătoare, prin materializarea cărora generează efecte nefaste
8 / 139
asupra vieților noastre și asupra mediului ambiental. Atât riscurile
nematerializate, cât și răul făcut, pot fi conștiente și observabile, sau
inconștiente, inerțiale și subtile.
Latura conștientă și observabilă ține de partea de exploatare,
de punere în uz și de valorificare a tehnologiei, de aspectele vizibile,
relativ ușor de înțeles și de adus în discuție, percepute și abordate în
directă corespondență cu scopurile pentru care este creată
tehnologia. Din această perspectivă, eforturile de gestionare a
riscurilor au creat domeniul științific și practic al securității cibernetice,
așa cum este cunoscut în industria de specialitate și pe care îl vom
referi în continuare ca securitate cibernetică aplicată.
Latura inconștientă, inerțială și subtilă ține de partea de efecte
pe care tehnologia le aduce asupra omului și asupra naturii, ca
urmare a utilizării și exploatării sale. Conține aspecte de substrat,
complexe, fenomenologice, de corelație profundă și interdependență
funcțională, ce pot fi analizate printr-o abordare trans-disciplinară, la
intersecția ingineriei și științelor realiste cu științele umaniste și
naturale. În prezent, eforturile de gestionare a riscurilor – din acest
punct de vedere – sunt aproape inexistente; însă vom prezenta o
serie de repere pentru identificarea, calificarea și abordarea lor, sub
terminologia de securitate cibernetică complementară.
Logica funcționării
Dacă vrem să înțelegem și să gestionăm funcționarea
tehnologiei, avem nevoie – înainte de toate – să cunoaștem
mentalitatea umană, în profunzimea ei. Să știm și să înțelegem
gândirea cu care este creată tehnologia, gândirea cu care este
utilizată și gândirea cu care este exploatată (atât ca instrument, cât și
ca armă); și, în egală măsură, să înțelegem gândirea omului – în
general – pentru a dobândi o formă de meta-cunoaștere (de informații
suplimentare, auxiliare, de context, de substrat) referitoare la locul,
rolul și evoluția tehnologiei în viețile noastre.
Tehnologia este oglinda omului; preia și transpune toate
caracteristicile conștiente sau inconștiente ale creatorului și
utilizatorului său. Cu cât cunoaștem mai bine omul, cu atât vom putea
înțelege mai în detaliu aspectele ce țin de funcționarea tehnologiei.
Totodată, cu cât oferim o atenție mai mare descoperirii și dezvoltării
9 / 139
umane, precum și condițiilor de evoluție umană, cu atât mai bine vom
putea gestiona descoperirea și dezvoltarea tehnologiei care ne
însoțește viețile, respectiv condițiile sale de funcționare și
perspectivele de modelare/ influențare a mediului înconjurător.
În studiul și analiza substraturilor tehnologiei, avem nevoie să
abordăm extensiv mentalitățile și instrumentele împrumutate din
domeniile umaniste (în special din zona psihologiei și sociologiei), să
le îmbinăm și să le aplicăm corelat cu abordările inginerești, fixe. Din
perspectiva utilizării tehnologiei, avem nevoie să fim conștienți de
procesele de fundal, de mentalitățile și algoritmii logici/ de gândire
care sunt codificați în programarea logicii mașinice și permit
instrumentelor care ne înconjoară, să îndeplinească sarcini, să
deruleze acțiuni, să își pună în implementare funcționarea.
II. Ciclul de viață al tehnologiei
Securitatea în tehnologie
În ciclul de viață al tehnologiei există o serie de etape care pot
fi referite generic și înțelese prin raportare la modalitatea de
organizare a omului la nivel individual și social. Acestea descriu un
flux cognitiv specific proceselor noastre naturale de învățare și de
adaptare la mediul în care trăim: întâi căutăm, apoi descoperim,
analizăm și asimilăm, reproducem și punem în aplicare, corectăm și
îmbunătățim, iar în final ne desprindem/ renunțăm atunci când nevoia
ne este împlinită.
Modul în care reacționăm și ne adaptăm la situațiile de viață
este unic pentru fiecare, însă ordinea în care abordăm experiențele
urmează un parcurs procesual natural omniprezent: naștere,
creștere, manifestare, moarte. Ca orice lucru care trăiește, un obicei
al nostru, o capacitate cognitivă, o unealtă, o formă de exprimare, un
talent, o modalitate de organizare inter-umană, o lege, o ideologie...
orice produs al minții și al mâinilor noastre urmează o serie de
momente de inițiere, dezvoltare, maturizare și regresie. Fiecare astfel
de ciclu generează informație și cunoaștere care fundamentează
10 / 139
premisele de evoluție umană, fiind îmbunătățite în mod iterativ, de la
un ciclu la altul.
Dezvoltarea tehnologică la nivel individual nu necesită prea
multe eforturi de sincronizare socială; fiecare om își gestionează
manifestarea și evoluția în ritm propriu. Deși nu putem spune că este
un proces simplu (pentru că, dacă analizăm în profunzime
caracteristicile psihice ale vieții individuale, vom găsi un univers de
sine stătător, auto-organizat, aflat în homeostazie și autoreglare),
dezvoltarea tehnologică individuală nu are prea multe dependențe
externe (gestionarea deciziilor fiind un atribut strict intern, personal,
autonom) motiv pentru care poate fi percepută ca având o relativă
simplitate. În final, cu toții trăim aceleași tipuri de vieți, adică într-un
mediu care oferă – fizic vorbind – aceleași condiționalități ale vieții:
suntem dependenți de același tip de aer, apă și substanțe nutritive, și
funcționăm mental după o serie de caracteristici comune întregii
specii. Avem aceleași forme de organizare a corpurilor fizice și a
psihicului uman.
Atunci când escaladăm nivelurile de organizare colectivă,
descoperim că trebuie să ne dezvoltăm mecanisme de sincronizare
și interoperabilitate, care să ne permită fluența comunicării.
Tehnologiile colective (după cum spuneam mai sus, ex. legile,
regulile, cutumele, tradițiile, obiceiurile, respectul și condițiile de
interacțiune reciprocă, sistemele de organizare statală, politica,
doctrinele, religiile, ideologiile, știința) solicită indivizilor consumul
unei mari cantități de energie pentru sincronizarea ritmului și
armonizarea conținuturilor; în lipsa acestei energii, conținuturile
colective nu pot fi materializate, iar noi nu ne putem manifesta ca
specie unitară. Abilitatea de comunicare socială este cea care ne-a
oferit ascendent asupra tuturor celorlalte specii de viețuitoare. (Ceea
ce, în final, ajunge să fie deopotrivă, atât un lucru bun, cât și un lucru
rău.)
În mod intuitiv, atunci când dezvoltarea tehnologică
escaladează nivelurile de organizare umane – de la individ, la grup,
la comunitate și până la populația globală – ciclul de viață al
tehnologiei suferă mutații datorate creșterii nivelului complexității
organizării sociale (repercutată în sincronizarea comunicării) și a
necesităților de organizare procesuală (repercutată în sincronizarea
11 / 139
conținuturilor). Suplimentar, intervine necesitatea asigurării unei
homeostazii și autoreglări interne proprii tehnologiei, crescând și mai
mult nivelul de complexitate inerentă a acesteia.
Astfel, putem considera că etapele generice reprezentative
pentru ciclul de viață al tehnologiei gestionate colectiv includ:
cercetarea, design-ul, producția, reglementarea, utilizarea,
influențarea/ modelarea, actualizarea și casarea. În centrul acestora
rezidă securitatea.
Înainte de toate, se cercetează cu privire la scopurile
existențiale și la metodele de implementare ale unei tehnologii. Apoi
se realizează design-ul și se desfășoară producția tehnologiei. După
care, produsul finit este distribuit și ajunge la utilizatori sau în mediul/
contextul pentru care a fost conceput, unde este pus în uz. În timpul
utilizării, tehnologia aduce influență și modelare atât la nivelul
oamenilor, cât și al naturii. În funcție de cum este evaluată, apoi
suferă adaptări și îmbunătățiri; sau este scoasă din uz, dacă și-a
îndeplinit scopurile pentru care a fost creată și este considerată
depășită/ învechită. Etapa de reglementare se desfășoară, de regulă,
la un anumit interval de timp după ce tehnologia intră în uz și este
considerată ca fiind adoptată la scară mare. (Există și situații în care
reglementarea apare înaintea tehnologiei, atunci când scopurile și
interesele sociale/ politice solicită în regim de urgență satisfacerea
anumitor necesități.)
În oricare dintre aceste etape, este necesar să alocăm o
atenție deosebită respectării și implementării cerințelor de securitate,
pentru a ne asigura că tehnologia creată funcționează în condiții de
siguranță, iar efectele generate se încadrează într-un registru de
acceptabilitate. Este imperativ să existe un echilibru între scopurile
existențiale ale tehnologiei și nivelul de securitate construit în
interiorul și în contextul ei de funcționare.
Securitatea nu este o facilitate care poate fi adăugată la un
moment dat, în ciclul de viață al produsului. Nu este un petic; este o
caracteristică fundamentală, intrinsecă întregului ciclu de viață, o
condiție existențială.
---o---
Dacă nu înțelegem necesitățile de securitate încă din etapa de
cercetare, risipim eforturile de implementare a securității. Bâjbâim
12 / 139
orbi, încercând să rezolvăm probleme pe care nu le înțelegem,
scăzând astfel – dramatic – randamentul eforturilor investite în raport
cu obiectivele scontate.
Fără definirea cerințelor (sau măcar a reperelor macro, a
direcțiilor principale) de securitate încă din etapa de cercetare, este
ca și cum ne-am apuca de lucru fără să gândim. Pentru că, fără
definirea și înțelegerea unei probleme, nu avem ce rezolva. Totodată,
fără definirea corectă a problemei, nu putem utiliza eficient resursele
pentru a o rezolva. Etapa de cercetare necesită includerea unor
procese de analiză de risc și documentare, în scopul fundamentării
acțiunilor viitoare.
Etapa de design necesită, de asemenea, alocarea unei atenții
corespunzătoare asupra reperelor de securitate, astfel încât
tehnologia să poată fi produsă/ creată din start cu mecanisme solide
ce îi asigură stabilitatea în funcționare, chiar și în condiții improprii, de
manifestare a riscurilor la care este supusă. Încorporarea securității
(built-in security) încă din etapele de design și producție asigură
tehnologiei robustețe, compactețe și reziliență pe termen lung, fiind
una dintre cele mai eficiente măsuri care pot fi luate pentru asigurarea
unei protecții de ansamblu corespunzătoare.
Măsurile de securitate aplicate din exterior sunt concepute
pentru etapele de utilizare, adaptare și casare a tehnologiei. Din
nefericire, în prezent, măsurile de securitate tratează, în proporție
majoritară, aceste etape existențiale ale tehnologiei, contribuind
astfel la peticirea stării de securitate. Evident, în lipsa securității
încorporate sunt bune și peticele de securitate, însă acestea din urmă
nu oferă un grad satisfăcător de protecție și reziliență.
Expunerea la risc se propagă în manifestare, inclusiv în
procesele de influențare și modelare pe care tehnologia le aduce
asupra oamenilor și asupra naturii. Orice dezechilibru structural și
funcțional reprezintă supape de manifestare dăunătoare la nivelul
efectelor produse în urma exploatării tehnologiei. Chiar și în condițiile
ideale de securitate 100% (în care funcționarea și efectele produse
ar fi controlate total), tehnologia tot modelează utilizatorii și mediul
înconjurător, impunându-le acestora să depună eforturi de adaptare;
este inevitabil și natural. Însă, cu cât mecanismele de securitate sunt
13 / 139
mai slabe, cresc deopotrivă atât influențele tehnologiei, cât și nuanța
dăunătoare a riscurilor comportate.
În final, procesul de reglementare contribuie perpetuează
expunerile la risc sau consolidează în mod integrat/ uniform starea de
securitate, în funcție de cum reușește să trateze și să impună
direcțiile macro și cerințele specifice de securitate, respectiv de cum
asigură fundamentare legală pentru dezvoltarea și implementarea
mecanismelor corespunzătoare. Reglementarea asigură un echilibru
în raport cu dezvoltarea tehnologiei, cu modul de utilizare și
exploatare a acesteia, precum și cu efectele pe care aceasta le
generează. Este un pilon fundamental pentru sănătatea de ansamblu
a tehnologiei. (Subiectul necesității reglementării va fi elaborat mai
târziu, când abordăm aspectele practice ale tematicii de față.)
Pentru a obține un nivel optim de protecție, trebuie să
asigurăm un echilibru și o uniformitate în implementarea, aplicarea și
gestionarea securității de-a lungul întregului ciclu de viață al
tehnologiei. Tratarea superficială a oricărei etape slăbește întregul
proces, vulnerabilizează și predispune la exploatări nefaste, și
zădărnicește eforturile de securitate investite în celelalte etape ale
existenței tehnologiei.
Lipsa de conștiință
În prezent, omul dezvoltă tehnologia urmărind îndeaproape
două criterii principale: să îi satisfacă cerințe de utilitate și să îi ofere
profitabilitate. Pierdut în inerția vieții, de multe ori omul scapă din
vedere reperele logice și motivația existențială a dezvoltării
tehnologice, și se lasă purtat strict de scopurile financiare, creând un
ciclu de viață al tehnologiei plin de lacune funcționale și de securitate.
Ajunge chiar să dezvolte tehnologie care generează în mod artificial
nevoi umane, introducând oamenii pe un fir al consumului nenatural
sau presărat cu dependențe.
Oricum ar fi, omul nu a depus eforturi de analiză asupra
efectelor pe care tehnologia le generează asupra lui – la nivel
individual și colectiv – sau asupra naturii/ a mediului în care își trăiește
viața. S-a limitat la căutarea de soluții pentru rezolvarea unor
probleme practice, cu utilitate imediată, eșuând în observarea
14 / 139
efectelor colaterale ale deciziilor sale, regăsite implementate în
instrumentele dezvoltate.
În prezent, viteza de evoluție a vieții sociale și tehnologice ne
împiedică să observăm și să analizăm efectele deciziilor noastre
colective, chiar și dacă am deschide ochii și am încerca să privim în
această direcție. Competiția acerbă și dificultatea gestionării
implicațiilor globale (a inerției propagate a deciziilor noastre colective)
ne presează să gândim pe termen scurt și să aducem adaptări care
generează numai urmări măsurabile și trasabile. Efectele pe termen
lung scapă atenției și înțelegerii noastre, ajungând să fie neglijate,
chiar și în condiții de bune intenții.
Ritmul recent al evoluției tehnologice a prins o pantă de
creștere exponențială, imprimând asupra omului și asupra naturii
schimbări de mare amploare. Problema omului se adâncește o dată
cu dificultatea gestionării cantității imense de informație cu care
interacționează, care l-a împins într-un vârtej de adaptare neanticipat.
Asimilarea informației la nivelul psihicului uman este
condiționată de anumite limitări naturale (fizice, hardware) ale
creierului și ale algoritmicii cognitive, care au fost dobândite de-a
lungul întregii noastre existențe, în mod liniar, pas cu pas.
Amplificarea exponențială a surselor generatoare de adaptare ne
împing într-un proces de recalibrare fundamentală, la nivelul speciei,
care nu are precedent în istoria noastră.
Desigur, ne vom adapta și vom evolua. Însă ne aflăm în fața a
trei provocări a căror depășire este vitală pentru asigurarea condițiilor
corespunzătoare de supraviețuire și evoluție a speciei noastre: însăși
necesitatea adaptării la un ritm de creștere exponențială a
informațiilor cu care interacționăm; recuperarea decalajului și
alinierea ritmului de evoluție umană la ritmul evoluției tehnologice;
respectiv, dobândirea controlului asupra efectelor pe care tehnologia
le aduce la nivelul omului și la nivelul naturii.
Ni se par prea mari pretențiile? Nu ar trebui, din moment ce
tehnologia existentă în prezent pe planeta noastră este rodul
creativității și inventivității umane. Este produsul nostru, creația
noastră. Trebuie să ne asigurăm că deținem controlul asupra
riscurilor degenerative, astfel încât să creăm premisele potrivite
15 / 139
pentru recâștigarea și menținerea echilibrului de ansamblu al
ecosistemului în care trăim.
Atunci când vorbim despre securitate, în context tehnologic,
avem nevoie să ne extindem limitele de percepție și înțelegere, de la
nivelul gestionării simpliste a riscurilor tehnologice, așa cum le
abordăm în prezent, la nivelul analizei aprofundate și dobândirii
controlului asupra riscurilor și efectelor colaterale/ complementare pe
care tehnologia le întoarce asupra noastră și pe care le manifestă
asupra naturii, în mod subtil și inconștient.
Avem nevoie să ne elevăm conștiința și să ne adaptăm
capacitatea de abordare holistică a riscurilor de securitate pe care le
comportă tehnologia și deciziile noastre colective, pentru a ne asigura
condiții propice de evoluție, într-un climat corespunzător, aflat în
echilibru și homeostazie.
Pentru a împlini acest deziderat, trebuie mai întâi să învățăm
să privim problematica, să ne dezvoltăm o nouă formă de percepție
care să poată pătrunde complexitatea fenomenului tehnologiei și
deciziilor colective, iar apoi să identificăm modalități corespunzătoare
de abordare a problemelor cu care ne confruntăm. Securitatea în
context tehnologic are nevoie de o recalibrare conceptuală și de o
aliniere a setului de instrumente de care dispune – atât la nivel social,
cât și tehnic – pentru a răspunde în mod corespunzător provocărilor
la care ne predispune evoluția tehnologică.
III. Locul securității cibernetice
Securitatea cibernetică este starea de normalitate în care ar
trebui să ne trăim viețile, în condiții de gestionare deplină a riscurilor
pe care tehnologia le prezintă la adresa omului și a naturii. Presupune
tratarea deopotrivă atât a riscurilor care pot afecta buna funcționare,
menținerea performanțelor scontate și îndeplinirea cerințelor de
calitate a parametrilor de lucru ai tehnologiei, cât și a riscurilor care
amenință cu distrugerea, cu crearea de pagube în spațiul material
sau cu destabilizarea condițiilor de echilibru, de homeostazie și de
sănătate la nivelul oamenilor și al mediului înconjurător.
16 / 139
Ecosistemul cibernetic-fizic care se află în grija securității
cibernetice este unul complex, format atât din spațiul virtual, din
elementele de corespondență fizice și din conexiunile și senzorii
cibernetic-fizici, cât și din repere abstracte, implicații indirecte/
colaterale/ complementare (în domeniul economiei, sănătății,
ideologiei, imagologiei, s.a.) – care vor fi menționate mai în detaliu
într-un capitol ulterior. Gradul ridicat de interconectare și
caracteristica de înaltă responsivitate a ecosistemului cibernetic-fizic
introduce obligativitatea gestionării integrate a tuturor măsurilor de
securitate cibernetică sub comandă și control unice.
În spațiul fizic, riscurile generează incidente care au o
dinamică lentă, neemergentă, liniară, observabilă, măsurabilă,
trasabilă, cuantificabilă și contabilizabilă. Însuși spațiul fizic este
nescalabil, încastrat cu rigiditate în limitele-i proprii de manifestare,
care pot fi încadrate în granițe și limite fizice, palpabile. Manifestarea
simultană a unor incidente în spații fizice distincte presupune un efort
considerabil, care nu este la îndemâna oricui.
În schimb, în spațiul cibernetic-fizic, dinamica incidentelor are
o cu totul altă factură: este scalabilă, multiplicatoare, sincronizată,
emergentă, metamorfozabilă, nediscriminatorie, escaladabilă,
flexibilă... și descrierile pot continua. Metaforic vorbind, incidentele
din spațiul cibernetic-fizic sunt tot ceea ce sunt plus tot ceea ce nu
sunt incidentele din spațiul fizic. Posibilitățile de exploatare a riscurilor
prin intermediul spațiului cibernetic-fizic își găsesc granița la limita
creativității atacatorilor și în probabilitatea manifestării întâmplărilor și
accidentelor.
---o---
În practică, oamenii tind să privească și să aplice teoria într-un
mod adaptat necesităților și scopurilor proprii. Din nefericire, nu
corectitudinea tehnică este cea care dictează punerea în
implementare a teoriei, ci voința și interesele punctuale/ locale.
Aceasta este o generalitate a vieții, omniprezentă, și se manifestă din
plin și în domeniul securității cibernetice.
Astfel, fiecare responsabil ajunge să implementeze propria
viziune de securitate cibernetică în limitele în care are jurisdicție. Pe
de o parte, această libertate de manifestare reprezintă un avantaj,
întrucât demonstrează capacitatea oamenilor de a gândi autonom și
17 / 139
critic, de a raționa și de a rezolva în mod adaptat/ specific/ optim
problemele cu care se confruntă. (Și vom vedea, mai târziu, că este
chiar de dorit ca fiecare om să își asume responsabilitatea individuală
și să facă tot ce poate pentru a participa la consolidarea securității
cibernetice, în măsura limitelor sale de control.)
Însă, atunci când această libertate de manifestare se
realizează dincolo de logica tehnică corectă și depășește registrul
principiilor statutare ale domeniului, securitatea cibernetică nu numai
că nu este implementată (corespunzător), ci este și viciată. Și
exemplele de abatere de la logica naturală sunt prezente de la cel
mai mic nivel – individual, organizațional – până la nivel de organizare
națională și internațională, pe alocuri.
Totodată, facem precizarea că există și locuri în care
corectitudinea tehnică tronează și reprezintă o marcă pentru echipele
de experți care pun în implementare securitatea cibernetică.
Prezentul capitol are scopul de a sublinia anumite inadvertențe și
erori de percepție în conceptualizarea securității cibernetice, în raport
cu unele subdomenii ori cu unele domenii complementare sau cu
care are puncte comune. Înțelegerea corespunzătoare a imaginii de
ansamblu ne ajută să abordăm corespunzător securitatea cibernetică
în macro-structura de colaborare internațională, asigurându-ne
condițiile optime de prevenire și contracarare a riscurilor provenite din
domeniul tehnologic.
Securitate & Siguranță
Domeniul siguranței se ocupă cu buna funcționare a
tehnologiei, cu menținerea exploatării ei la parametrii optimi de
performanță și de calitate, cu o rată a erorilor cât mai redusă, astfel
încât să fie duse la bună îndeplinire sarcinile și scopurile intrinseci, și
să fie asigurate condițiile de siguranță umană.
Din punctul de vedere al siguranței, riscurile tehnologice sunt
născute din vulnerabilitățile inerente ale tehnologiei și ale utilizatorilor,
din erori existente în design, producție, configurări, teste/ verificări,
exploatare și manevrare. Poartă un caracter de neintenționalitate și
conduc către materializarea întâmplărilor, accidentelor.
18 / 139
Domeniul securității gestionează aspectele de consolidare/
ranforsare/ putere/ stabilitate/ homeostazie internă, precum și
caracteristica de impenetrabilitate și reziliență în fața amenințărilor
venite din exterior, pentru a proteja condițiile de bună funcționare și
de evoluție în condiții de siguranță. Din perspectiva securității,
riscurile tehnologice provin din materializarea amenințărilor, din
exploatare, din acțiune direcționată. Poartă un caracter de
intenționalitate și conduc spre materializarea atacurilor, acțiunilor
distructive, vătămătoare, ilicite.
---o---
Utilizarea eronată a celor două concepte – securitate și
siguranță – conduce la formarea unei imagini perceptive greșite, la
nivelul utilizatorilor acestora. De exemplu, din motive culturale, la
nivelul unor popoare se poate naște o confuzie între ”securitatea
națională” și ”siguranța națională”, acestea fiind folosite în mod
interschimbabil pentru a referi domeniul securității naționale. În egală
măsură, sunt realizate adesea confuzii și între ”securitatea națională”
și ”apărarea națională” (dăm acest exemplu aici doar pentru a face
referire la o altă dilemă conceptuală – ”securitatea vs. apărarea” – pe
care o vom trata într-un subcapitol ulterior). Aceste confuzii
conceptuale nu sunt neapărat marca necunoașterii, ci mai degrabă a
impunerii particularizate a unor voințe/ scopuri/ interese, la nivelul
realității practice, aplicate.
Securitatea cibernetică poate fi ușor asociată domeniului
securității, din pricina simplei coincidențe de terminologie. Însă
securitatea cibernetică cuprinde deopotrivă atât reperele de
securitate, cât și pe cele de siguranță, gestionând în mod unitar
riscurile de natură tehnologică.
Dacă am împărți securitatea cibernetică în două capabilități –
una care să se ocupe de elementele de securitate și alta, de cele de
siguranță – am ajunge să creăm o serie de instrumente ineficiente și
inaplicabile prin natura lor, creând o condiționalitate de auto-
excludere. În procesul materializării riscurilor – adică al manifestării
incidentelor de securitate cibernetică – este difuză nuanța
comportamentului evenimentului, în scopul încadrării sale în
categoria securității sau a siguranței.
19 / 139
Incidentele se manifestă și evoluează de-a lungul căii cu
rezistența cea mai mică, exploatând din plin vulnerabilitățile
ecosistemului cibernetic-fizic și făcând abstracție totală de
modalitatea noastră de a privi fenomenologia protecției: dacă ține de
securitate sau de siguranță. Hackerii nu țin cont de teritorialitatea
noastră conceptuală.
Apoi, în plină manifestare, este foarte dificilă identificarea
spontană a caracterului unui incident cibernetic – dacă este un atac,
o întâmplare sau un accident – ca fiind generat de un risc de
securitate sau de unul de siguranță. Pentru stabilirea cu exactitate a
acestor diferențe este necesară derularea de investigații digitale –
activitate care se desfășoară cu întârziere față de momentul în care
este necesară reacția promptă. În lipsa unei capacități de comandă &
control sincronizate, gradul de protecție din perspectiva securității
cibernetice coboară vertiginos spre zero.
---o---
Un alt aspect important, potrivnic dualității securitate-
siguranță, este dat de dificultatea atribuirii atacurilor cibernetice,
întrucât poate introduce viduri de aplicare a legislației privind
infracționalitatea.
Atribuirea atacurilor este un proces care excedează limita de
competență a responsabililor de securitate cibernetică de la nivel
organizațional și explorează domenii ce țin de ordine, apărare și
securitate publică. În lipsa intervenției structurilor abilitate – care pot
îmbina investigațiile digitale cu intelligence-ul uman – responsabilii de
securitate cibernetică nu pot atribui atacuri și nu pot iniția traseul
răspunderii legale. Devin ei înșiși victime, din cauza lipsei reperelor
și instrumentelor de tragere la răspundere a faptelor și de punere în
aplicare a legii.
---o---
Suplimentar, este de remarcat faptul că nu există un domeniu
al siguranței cibernetice. Industria a dezvoltat și gestionează
securitatea cibernetică în mod integrat, abordând atât amenințările,
cât și vulnerabilitățile, sub tutela macro-activității de management al
riscurilor, țintind să asigure eficiență în prevenție și timpi minimi de
răspuns la incidente.
20 / 139
Atunci când cele două nuanțe ale securității cibernetice sunt
abordate discriminatoriu sau parțial, se face un compromis de la
gradul de protecție asumat. Evident, este în libertatea fiecărui
responsabil, să stabilească o ordine de priorități sau o egalitate între
securitate și siguranță, precum și să le adapteze proporțiile în funcție
de necesitățile contextuale de aplicare/ implementare. Însă
securitatea cibernetică este una singură și se aplică în mod unitar, pe
orizontală, în toate domeniile de activitate, făcând uz de toate
perspectivele și înțelesurile conceptuale pe care le comportă.
Securitate & Apărare
Un alt set de noțiuni dezbătut asiduu în cercurile de creionare
conceptuală este perechea ”securitate” și ”apărare”. În funcție de
unghiul din care privim, putem găsi că una o cuprinde pe cealaltă și
viceversa.
În esență, securitatea reprezintă măsurile luate permanent
pentru asigurarea proceselor de bună funcționare și de evoluție, în
condiții de siguranță, protecție și sănătate. Are un caracter de
proactivitate, de preîntâmpinare, de dezvoltare, de consolidare, de
menținere a antrenamentului, a conștientizării, a ritmului de creștere
și valorificare a potențialului de manifestare. Urmărește îndeplinirea
unor necesități de existență domestică/ civilă, precum:
- Necesitatea individului de exersare a deciziei și de exprimare a
potențialului creativ, în condiții de siguranță, libertate și stimulare
evolutivă.
- Necesitatea colaborării la nivel organizațional/ comunitar/
național/ internațional, în scopul manifestării unității speciei
umane.
- Necesitatea respectării naturii, a mediului înconjurător și a
celorlalte specii de viețuitoare existente în ecosistemul din care
facem parte, precum și necesitatea luării deciziilor care se impun
pentru asigurarea unei coabitări corespunzătoare și pentru
menținerea echilibrului de ansamblu al mediului în care trăim.
În lipsa înțelegerii corecte a rolului pe care îl jucăm – ca indivizi
și colectiv – în spațiul nostru existențial, securitatea ne este sortită
eșecului (pe termen lung) generând la rândul ei o destabilizare a
21 / 139
condițiilor de siguranță, ca urmare a măcinării și distrugerii
procesuale/ din interior. Chiar și fără a avea parte de conflicte (deci,
fără a ajunge să facem apel la capacitățile de apărare), dacă eșuează
securitatea, eșuează implicit și condițiile de bună funcționare.
Securitatea are rol de stâlp de rezistență, de fundație. Este un
fel de sistem imunitar, care asigură condițiile de funcționare
homeostatică. Din perspectivă civilă, securitatea include apărarea.
---o---
Apărarea este capacitatea de a preveni și răspunde la conflicte
care amenință nivelul fundamental al existenței, la situații critice,
atacuri armate, situații de război, conflicte majore/ de mare amploare,
care destabilizează puternic funcționarea domestică. Are un caracter
militar și răspunde unei necesități stringente de supraviețuire.
Este un domeniu mai restrâns, comparativ cu securitatea, și
poate fi considerată ca parte a acesteia, ca etapă de intervenție
contextuală, atunci când devine necesară. Evident, apărarea
proactivă presupune și desfășurarea de activități permanente pentru
prevenția conflictelor, astfel încât să nu se ajungă la necesitatea
intervenției. (Ca regulă generală... atât securitatea, cât și apărarea,
ating nivelul maxim de eficiență atunci când nimic rău nu ajunge să
se întâmple, ca rezultat al acțiunilor de prevenție a manifestării
riscurilor.)
În mediul militar (acolo unde apărarea este scop existențial/
misiune de bază), apărarea devine principală, percepând securitatea
sub forma unui nivel de protecție esențial, care asigură funcționarea
business-as-usual a activităților operaționale și oferă un prim nivel de
protecție în fața atacurilor.
---o---
Securitatea cibernetică percepe apărarea în două moduri: i) ca
mentalitate/ ca model de mecanisme stratificate, înlănțuite, pentru
consolidarea în adâncime a protecției implementate și ii) ca o serie
de capabilități active de preîntâmpinare și răspuns la atacuri
cibernetice.
i) La nivel organizațional (și nu numai), se vorbește despre un
concept defensiv proactiv – ”apărarea în adâncime” – care reprezintă
mai degrabă o mentalitate de implementare echilibrată/ optimă a
22 / 139
măsurilor de securitate cibernetică, o abordare domestică, de
consolidare și securizare de-a lungul întregului flux de măsuri de
securitate cibernetică. Apărarea în adâncime a securității cibernetice
este diferită de apărarea militară (ca nucleu de reacție armată în
situații de conflict).
ii) La nivel statal și suprastatal, se vorbește despre o ”apărare
cibernetică” – reprezentată prin capacități de reacție/ capabilități
sofisticate și performante – care asigură atât răspunsul la atacuri
cibernetice, cât și contraatacul/ ofensiva. Apărarea cibernetică este
născută din necesitatea adaptării capabilităților de gestionare a
situațiilor de conflict, la evoluția metodelor de impunere și manifestare
a forței.
La nivelul anilor 2000, cea mai puternică formă de exploatare
distructivă a tehnologiei era reprezentată de războiul informațional. În
era societății informaționale – care era facilitată, deci, de tehnologia
informațională – conflictele și războiul informațional au adus o
actualizare noțiunii de război hibrid, transmutând și amplificând
formele de manifestare agresivă inter-statală din spațiul fizic în spațiul
virtual, informațional.
Desigur, conflicte informaționale au fost purtate și înainte de
anii 2000 – un exemplu recent, relevant în acest sens, fiind
reprezentat de Războiul Rece, care a urmat celui de-al doilea Război
Mondial, într-o formă subtilă. Însă tehnologia informațională a
introdus schimbări majore, care au contrabalansat proporțiile
instrumentelor și mecanismelor utilizate și au modificat substanțial
dinamica de evoluție societală.
La nivelul anilor 2010, tehnologia a cunoscut un nou salt în
puterea de procesare, facilitând dezvoltarea de arme cibernetice și
deschizând perspective fără precedent, de evoluție a capabilităților
tehnologice militare.
Putem considera că și la nivel local (individual și colectiv/
organizațional) există arme cibernetice, însă le denumim generic ca
”malware” sau ”capabilități și metode malițioase”. Din acest motiv, de
multe ori, ajungem să percepem și să tratăm eronat – prin
subestimare – nivelul de pericol pe care îl comportă amenințările
cibernetice civile. Terminologia de ”arme cibernetice” rămâne,
momentan, asociată statelor și formelor de organizare supra-statale
23 / 139
și este însoțită – cel puțin la nivel declarativ – de norme de gestionare
responsabilă și de evoluție controlată, în scopul menținerii unui
echilibru societal la nivel mondial.
Practic, apărarea cibernetică presupune două dimensiuni: una
defensivă (de preîntâmpinare și reacție la atacuri cibernetice) și una
ofensivă (de inițiere a atacurilor cibernetice). Dimensiunea defensivă
este prezentă și percepută ca business-as-usual la toate nivelurile de
organizare socială. Dimensiunea ofensivă este, de asemenea,
omniprezentă, însă este denumită diferit: în spațiul civil, ca activități
malware, iar în spațiul militar, ca activități armate.
---o---
În final, indiferent de conflictele conceptuale, este de reținut că
reperele de ”securitate cibernetică” și ”apărare cibernetică” sunt
abordate și implementate în mod adaptat, după cum impune
contextul de referință. La fel cum și noțiunile de ”securitate” și
”siguranță” sunt adaptabile în funcție de reperele asupra cărora le
aplicăm.
Totuși, dacă ar fi să gândim în logica fundamentală a existenței
acestor domenii de organizare tehnică și socială, putem remarca un
circuit de inter-dependență, de ansamblu: apărarea asigură protecția
și condițiile bazale de echilibru și de securitate –> care, la rândul ei,
deservește menținerii siguranței –> care, în schimb, asigură
funcționarea în condiții de sănătate și la parametrii de performanță
așteptați –> care condiții permit atingerea scopurilor și manifestarea
experiențelor.
Caracterul orizontal
Având în vedere gradul ridicat de interconectare al
tehnologiilor actuale, este necesar să aplicăm securitatea cibernetică
pe orizontală, în toate domeniile de lucru și la nivelul tuturor
componentelor infrastructurilor deținute.
Indiferent de importanța punctuală pe care o alocăm diverselor
componente sau părți din ecosistem, în urma evaluării riscurilor, orice
puncte slabe ale acestora reprezintă vulnerabilități pentru întreaga
infrastructură, ce pot fi utilizate ca puncte de penetrare și exploatare
a întregii rețele tehnologice. Prioritatea de protecție pe care o alocăm
24 / 139
în urma evaluării riscurilor are menirea de a stabili ordinea inversă în
care suntem dispuși să acceptăm eventualele pierderi, astfel încât să
ne fie afectată cât mai puțin funcționalitatea serviciilor de bază.
Securitatea cibernetică integrează măsuri luate din domeniile
de lucru cu specific organizațional și industrial, precum: operațiunile,
securitatea, siguranța, facilitățile și serviciile auxiliare, asigurarea
calității, comunicarea, managementul, s.a. Din punct de vedere al
interdependențelor cu alte macro-domenii tehnico-științifice,
securitatea cibernetică are puncte comune cu securitatea IT&C,
protecția comunicațiilor, securitatea informației, protecția datelor
personale, protecția informațiilor clasificate, ordinea publică,
apărarea și securitatea națională, protecția infrastructurilor critice,
s.a.
Toate acestea creează obligativitatea sincronizării
conceptuale și implementarea variantei optime de securitate
cibernetică, precum și adaptarea corespunzătoare, de ordin
reglementativ și implementativ, la nivel organizațional, local, național
și internațional.
Caracterul orizontal nu denotă o prioritate de importanță
printre domeniile tehnico-științifice; însă necunoașterea și
neconștientizarea corespunzătoare a locului securității cibernetice
conduc la vicierea implementării măsurilor care se impun și creează/
mențin vulnerabilități la nivelul întregului ecosistem. Implementarea
necorespunzătoare sau insuficientă a securității cibernetice face ca
acțiunile de consolidare a protecției, precum și răspunsul la incidente,
să fie diluate, reducându-le simțitor valoarea investită și făcându-le
derizorii.
IV. Rolul securității cibernetice
Securitatea cibernetică are rolul de a asigura menținerea
nealterată a stării de funcționare a tehnologiei, în condiții de
siguranță, securitate și sănătate la nivel uman, social-economic și
ambiental.
25 / 139
Două direcții
Pe de o parte, securitatea cibernetică are în vedere protecția
împotriva exploatării necorespunzătoare a tehnologiei, în urma căreia
pot fi generate pagube sau pierderi, atât de ordin material, cât și
uman. Este o protecție de suprafață, care vizează un set de relații
cauză-efect directe, observabile, perceptibile (care pot fi resimțite) în
mod evident.
Măsurile asociate acestei laturi a securității cibernetice sunt
relativ ușor de implementat, pe parcursul întregului ciclu de viață al
tehnologiei, necesitând o simplă analiză de riscuri și implementarea
unor decizii bazate pe o cunoaștere tehnică de specialitate. Evident,
sunt necesare multe alte repere – pe care le vom menționa, în
principal, în capitolul Securitatea cibernetică aplicată – însă am
subliniat caracterul de ”simplitate”, prin raportare comparativă la cea
de-a doua latură a securității cibernetice, care este mai subtilă și mai
dificil de perceput cu ochiul liber.
Pe de altă parte, așadar, securitatea cibernetică are în vedere
și gestionarea influențelor/ efectelor generate de tehnologie asupra
omului și asupra naturii, care sunt mai dificil de înțeles decât cele
menționate mai sus, întrucât necesită alocarea unei gândiri strategice
și aplicarea unor analize de substrat, consistente. Tehnologia poate
aduce influențe asupra omului și naturii, pe termen lung, comportând
o subtilitate și o complexitate greu de elucidat.
Fiecare decizie colectivă, transpusă printr-un mecanism de
implementare social sau tehnologic (pentru că, în definitiv, orice
produs material sau abstract al omului este o formă de tehnologie),
produce efecte reverberate care se propagă, se amplifică și prind
inerție de-a lungul timpului. Desigur, unele efecte pot fi vizibile și
rapid, cu ochiul liber; însă, modelarea, corectarea și gestionarea lor
nu se poate face prin reacție rapidă, necesitând inserția de inputuri
de-a lungul întregului ciclu de viață al tehnologiei, în special în etapa
de cercetare.
În prezent, această a doua latură/ nuanță a securității
cibernetice este mai puțin cunoscută și explorată, fiind dependentă
de rațiuni de etică, de drept, de psiho-sociologie, de medicină, s.a. –
pe care le vom aborda, în principal, în capitolul Securitatea
cibernetică complementară.
26 / 139
Prevenția și reacția
Când afirmăm că securitatea cibernetică are nevoie de
prevenție, sună a clișeu, a normalitate. Și ne-am aștepta chiar să
dobândim cu mare ușurință această capabilitate. Însă prevenția este
cel mai greu de atins, atât din cauza unui nivel scăzut al conștientizării
riscurilor – care zădărnicește procesul decizional – cât și a dificultății
direcționării investițiilor în acest sens, a inerției de neclintit a
reglementărilor, a birocrației, a lipsei dovezilor pentru fundamentare,
a impedimentelor culturale, și multe altele.
În general, omul nu știe să fie preventiv, în deciziile sale
colective. De-a lungul timpului, umanitatea a observat că are această
deficiență (care persistă încă, dar fără a fi imuabilă), cu fiecare
eveniment important pe care l-a avut de traversat. Din păcate,
procesul de învățare din experiențele anterioare ne este anevoios și
nu neapărat din rea voință sau din lipsă de interes, cât datorită faptului
că omul învață majoritar în urma experiențelor proprii. Lecțiile
preluate din exterior sunt trecute prin filtrul gândirii, însă până nu sunt
și trăite – astfel încât să parcurgă și fluxul modelării emoționale – nu
pot fi simțite, cântărite și înmagazinate. Învățămintele care sunt doar
raționate, dar nu și experimentate sunt asimilate și reținute într-un
procent scăzut. Din acest motiv, în final, nici capacitatea de decizie
(colectivă) nu poate fi actualizată și recalibrată conform necesităților,
după cum ar fi de așteptat.
Omul colectiv are nevoie de un eveniment declanșator la care
să reacționeze, în urma căruia să repare și să peticească, iar apoi să
prevină reapariția/ manifestarea repetată a acestuia. Este un fel de
Toma necredinciosul care nu mișcă un deget până nu-i apare în fața
ochilor motivul de necontestat, pentru care să ia decizii. Și nu este
dificil de înțeles logica acestui tip de comportament: prin prevenție
preîntâmpini evenimentul nedorit, eviți pierderile și menții totul în
echilibru; astfel, în etapa de bilanț, judecata parțială și critică cu privire
la irosirea/ risipa resurselor este înlesnită tocmai de inexistența acelui
nimic care nu s-a mai întâmplat.
Trăim într-un fel de cerc vicios auto-întreținut al fricii în fața
criticii: în lipsa evenimentului declanșator, stagnăm în inacțiune, de
teama de a nu fi acuzați de risipă și ineficiență; iar când se întâmplă,
în ciuda faptului că am fi avut posibilitatea să reparăm și să
27 / 139
preîntâmpinăm manifestarea, suntem totuși criticați că nu am acționat
corespunzător. Misiunea responsabililor de securitate cibernetică
este deosebit de intrigantă (așa cum este cazul responsabililor de
securitate, în general) și necesită multă comunicare, persuasiune și
capacitate de adaptare.
Înainte de toate, având în vedere potrivniciile la implementare,
întâlnite din toate direcțiile și prezente în toate ciclurile de viață ale
tehnologiei, responsabilii de securitate cibernetică au nevoie de o
doză suficient de mare de pasiune pentru acest domeniu, ca să îl
poată pune în aplicare în mod corespunzător, pe termen lung. Au
nevoie să creadă cu tărie și să găsească plăcere în procesul în sine,
să nu ia personal impedimentele întâlnite, să își dezvolte o mare
toleranță în fața eșecului (de natură relațională umană) și să dețină o
puternică dorință de explorare, descoperire, creștere, autodepășire și
evoluție permanente.
---o---
Rolul principal al securității cibernetice este de a preveni
manifestarea riscurilor specifice spațiului cibernetic-fizic. În acest
sens, are nevoie de implementarea proactivă de măsuri de
contracarare, precum și de dezvoltarea unei capacități prompte de
reacție la evenimente de securitate cibernetică. Totodată, trebuie să
își dezvolte capacitatea de comunicare continuă și de raportare a
stadiului evolutiv al procesului de securitate cibernetică, pentru a ține
informat nivelul decizional superior cu privire la balanța resurselor
investite și a câștigurilor dobândite (prin evitarea manifestării
incidentelor blocate și/sau gestionate). Este un efort de analiză de
business care traduce procesele tehnologice și organizaționale în
limbaj uman, comun, necesar pentru fundamentarea deciziei.
Pentru dezvoltarea capacităților de prevenție și reacție este
nevoie, în primul rând, de asumarea responsabilității și a răspunderii
revenite, în parte, pentru fiecare dintre cei implicați în asigurarea
securității cibernetice: de la responsabilii direcți, la manageri și
decizionali, la producători, la utilizatori... tuturor celor care
interacționează cu tehnologia, de-a lungul ciclului de viață al acesteia.
Prioritatea revine, însă, responsabililor direcți de securitate
cibernetică și administratorilor de tehnologie, precum și managerilor
28 / 139
și decizionalilor. Pentru că toți aceștia gestionează, coordonează și
implementează în mod direct deciziile colective – care, comparativ cu
deciziile individuale, generează o influență în mediul socio-
economico-natural, net superioară.
Apoi, toate capabilitățile tehnice și procesuale/ organizaționale
de securitate cibernetică sunt corelate și/sau integrate în varianta
optimă, care să asigure descoperirea timpurie a indicatorilor care
semnalizează posibilele incidente cibernetice și preîntâmpinarea
acestora cu răspuns prompt și ferm.
Integrarea se realizează la nivelul mecanismelor de securitate
cibernetică (care reprezintă o latură ”dispensabilă”/ suplimentară/
auxiliară a tehnologiei, în raport cu execuția strictă a misiunii de bază
pentru care a fost creată), ci nu la nivel operațional (care reprezintă
fundația indispensabilă a tehnologiei protejate, ce asigură
funcționalitatea de bază și livrarea serviciilor în regim de înaltă
disponibilitate), prin respectarea unor reguli de ”curățenie” și
stabilitate, din perspectiva securității. [ex. mecanisme de comunicare
unidirecțională, proceduri și politici organizaționale, filtre duble de
control și verificare, s.a.]
---o---
Descoperirea timpurie a activităților malware se realizează, în
principal, prin două metode: prin automatizare și prin explorare.
Automatizarea presupune instalarea senzorilor care să
capteze metadatele de funcționare a echipamentelor tehnologice,
preluarea și analiza corelată a acestora, în baza unor algoritmi
adaptați contextual sau presetați pentru analiză comportamentală, și
configurarea unor procese de alertare automată. Întregul flux de
analiză și identificare automatiza necesită eforturi consistente pentru
configurare inițială, mentenanță și urmărire, însă asigură cea mai
cuprinzătoare imagine/ cea mai bună vizibilitate asupra proceselor
interne ale tehnologiei, din punctul de vedere al securității cibernetice.
În completare, pentru acele incidente care escaladează
mecanismele de detecție și procesare automată, este necesară
dezvoltarea și operaționalizarea (permanentă a) unor procese de
explorare manuală/ de vânătoare a amenințărilor (threat hunting).
Acestea sunt realizate de specialiști dedicați, care analizează
29 / 139
permanent fluxurile de lucru (în paralel cu mecanismele de detecție
automatizată) și investighează anticipativ sistemele și rețelele
tehnologice, respectiv spațiul de Intelligence, în căutarea indicatorilor
care pot sugera/ anunța/ avertiza cu privire la posibilitatea reală de
manifestare a unor incidente cibernetice.
Predicția
Ideal este să dezvoltăm soluții de detecție timpurie a
manifestării riscurilor, cu o performanță atât de ridicată încât să ne
asigure predicția incidentelor cibernetice. Acesta este un deziderat
care poate fi atins în condiții de organizare umană exemplară și de
evoluție tehnologică corespunzătoare.
Pe de o parte, cunoașterea și competențele tehnice, analitice,
de cercetare-inovare și de intelligence ale specialiștilor sunt
indispensabile pentru dezvoltarea și valorificarea capacității de
detecție timpurie și de preîntâmpinare a incidentelor cibernetice. De
asemenea, acestea sunt necesare și pentru investigarea, înțelegerea
și documentarea incidentelor, generând lecții învățate și informații
care contribuie – în buclă de feedback – la completarea cunoașterii
privind spectrul de riscuri. Intuiția umană generează repere de
cunoaștere inexistente în instrumentele tehnologice de securitate
cibernetică.
Pe de altă parte, viitoarele tehnologii vor putea (și au început
deja) să ofere servicii de procesare informațională aprofundată, în
scopul generării unei forme de intuiție artificială. Puterea inteligenței
artificiale, capacitatea de a studia firul de evoluție al cauzelor trecute,
validarea unor modele statistice și transpunerea acestora în algoritmi
de predicție vor fi condiționalități aflate la baza capabilității de
prognoză. Prin intermediul acestora poate fi automatizată analiza
evoluției stării indicatorilor de compromitere, a vectorilor de atac și al
predispozițiilor la eroare/ întâmplare/ accidentare, în scopul alertării
timpurii cu privire la materializarea anumitor riscuri de securitate
cibernetică.
30 / 139
V. Principii și raționamente
Inconștiența
Dacă nu poți percepe ceva, nu înseamnă că nu există.
Senzorii care extrag și prelucrează metadatele de utilizare ale
tehnologiilor sunt indispensabili pentru a putea ”privi” în interiorul
proceselor tehnologice. În egală măsură, cunoașterea și abilitatea de
a gestiona acești senzori, în scopul extragerii de informații utile din
setul de date pe care le prelucrează, precum și cultura, deschiderea
și înțelegerea generică a oamenilor cu privire la funcționalitatea
tehnologiei și a influențelor pe care le aduce asupra noastră și asupra
naturii, sunt necesare pentru a putea înțelege și urmări aceste
procese, în substratul lor. În ultimă instanță, fenomenele greu de
observat cu ochiul liber (sau cu senzorii dedicați/ specializați) pot fi
percepute și înțelese prin analiza urmelor pe care le lasă în urma
activității lor.
Faptul că nu știi, nu te absolvă de urmări și de efecte. Suntem
parte dintr-un ecosistem funcțional, ale cărui părți componente sunt
interconectate și fac schimb de conținuturi. Simpla noastră decizie de
a refuza percepția fenomenelor care ne înconjoară nu ne scutește și
nu ne face invulnerabili la influențele și efectele pe care acestea le
produc asupra noastră.
Tehnologia nu are simț moral și personalitate, ca să ne putem
permite să ne lăsăm purtați în mod inconștient pe valul voinței sale.
(De dragul corectitudinii conceptuale, menționăm că tehnologia
deține o formă de moralitate și personalitate, indusă – cel mai
adesea, în mod inconștient – în procesul de design și producție;
preluată automat, de la creatorii ei.) Este la fel ca și în cazul legii, care
se aplică tuturor, indiferent dacă este cunoscută sau nu, de către
indivizi.
În egală măsură, efectele legii și efectele tehnologiei sunt
acolo, rulează pe fundal, se aplică și ne influențează dincolo de voința
noastră individuală. Ba mai mult, sunt prezente și valabile chiar și
când ne ferim sau încercăm să ieșim de sub incidența lor. Toate
conținuturile noastre colective se propagă liber, în tot spațiul fizic în
care trăim.
31 / 139
---o---
Securitatea cibernetică este un domeniu dependent de
percepție. Pentru a naviga în spațiul virtual este nevoie de o
senzoristică (tehnică, materială, cibernetic-fizică) corespunzătoare,
dublată de o înaltă capacitate de imaginație și abstractizare, la nivel
psihic individual.
Pornind de la stadiul proceselor interne ale unui echipament
tehnologic sau de la comportamentul traficului de rețea, și până la
influențele subtile pe care utilizarea tehnologiei le poate aduce asupra
noastră și asupra mediului în care trăim, fenomenologia tehnologiei
comportă un nivel ridicat de necunoscut și de incertitudine. Acest gol
de cunoaștere și control poate conduce deținătorii și utilizatorii de
tehnologie să dezvolte iluzii de încredere, confidență, putere,
invulnerabilitate, stabilitate, siguranță, imunitate, atotcunoaștere și
stăpânire.
Ignoranța este unui dintre cei mai mari adversari ai securității
cibernetice. Iar cine se complace în principiul ”ce nu știi nu te poate
afecta”, își reduce singur disponibilitatea și deschiderea spre
asigurarea unei protecții corespunzătoare.
---o---
Generic vorbind, probabilitatea ca mediul cibernetic-fizic să fie
infectat cu malware este mai mare decât probabilitatea de a fi neatins.
Și, cu cât infrastructurile tehnologice sunt mai complexe, cu atât
această proporționalitate crește.
Statistici anuale (la nivel mondial) indică lentoarea
inacceptabilă (de ordinul zecilor și sutelor de zile) a organizațiilor în
procesul de descoperire a incidentelor malware existențe în
infrastructurile proprii. Apoi, acestea sunt completate cu alte statistici
similare, privitoare la perioada necesară gestionării incidentelor și a
derulării activităților post-incident. Capacitatea de prevenție – reală,
aplicată, disponibilă în infrastructurile cibernetice – este, de cele mai
multe ori, inexistentă.
Totodată, șansele ca cineva de pe acest Pământ să evite
influențele aduse de tehnologie sunt minime; intră în calcul până chiar
și triburile, ultimele comunități umane care mai trăiesc în (iluzia de)
izolare. Valul/ inerția produselor și deciziilor noastre colective globale
este atât de mare încât sunt slabe speranțe că putem avea suprafețe
32 / 139
de pământ virgine, neatinse și/ sau neinfluențate în vreun fel de mâna
omului sau de extensia acestuia, tehnologia.
Senzorii de securitate cibernetică, cunoașterea și
competențele în specialitate, studiile amănunțite cu privire la
dinamica influențelor aduse de tehnologie – sunt, toate, instrumente
care oferă o conștientizare asupra situației de fapt, a stadiului de
funcționare individuală și colectivă (organizațională, socială, statală).
În lipsa acestora, să refuzi a crede că ești predispus riscurilor sau că
poți fi infectat cu malware ori că tehnologia nu aduce influențe în urma
utilizării ei, este echivalent cu a nu te duce la un control medical de
teamă ca nu cumva să descoperi că ai vreun dezechilibru de
sănătate.
Riscurile de securitate cibernetică sunt ca un sleeping giant
care la un moment dat se poate trezi și face ravagii. Sunt ca acel
elefant din mijlocul camerei pe care toată lumea îl vede, dar despre
care nimeni nu vorbește, de teamă să nu-l trezească și să strice tot
ce-i stă în cale.
Trezirea
Dacă nu crezi că există, dar cineva îți zice că a văzut, crede-l
sau verifică! Eșecul trezirii în urma avertizării denotă fie ignoranță, fie
naivitate.
Stă în responsabilitatea fiecăruia să își ia măsurile de protecție
corespunzătoare, pentru a preveni și contracara manifestarea
riscurilor la care este expus. Trezirea este reprezentată de momentul
în care devii conștient că este necesar să acționezi, în urma căruia
inițiezi demersuri de orientare, de analiză asupra veridicității situațiilor
de risc, de stabilire a direcțiilor de studiu și dezvoltare, de organizare
și planificare a metodelor și instrumentelor necesar a fi utilizate.
Este un moment de oscilare și căutare a unui echilibru, de
manifestare a curiozității primare și analiză a reperelor de
pragmatism, de testare și confirmare a importanței avute, de estimare
grosieră a impactului pe care îl poate aduce manifestarea riscurilor,
de adunare a resurselor și a energiei spre a fi canalizate în procesul
de consolidare a securității cibernetice. Este o etapă de ieșire din
confuzie, de tatonare, de încercare și de validare a necesităților.
33 / 139
Analiza primară acționează ca un fel de ”studiu de pre-fezabilitate”
care ancorează în pragmatism/ încadrează în realul obiectiv riscurile
identificate.
Uneori, complexitatea fenomenelor face ca riscurile pe care
acestea le comportă să fie dificil de observat și cuantificat. Pot depăși,
prin natura lor, granița componentelor tehnologice individuale,
acționând sistemic, corelat, interdependent. Analiza preliminară
trebuie să țină cont de toate fațetele riscurilor fără să le judece în
funcție de valoarea deținută, pentru a evita eliminarea lor prematură
din calcul. Trezirea este ca un brainstorming care pregătește analiza
aprofundată, realizată în scopul fundamentării deciziilor de dezvoltare
(a securității).
Înțelegerea
Dacă știi că ceva există, fii sigur că știu și alții. Și pot fi mai
documentați ca tine, mai pregătiți, mai avansați, mai cu un pas
înainte. Iar dacă sunt rău intenționați, pot deveni o amenințare pe
care îți dorești să o poți contracara și gestiona. Nu numai că acel ceva
care există poate fi exploatat, dar poate reprezenta un fenomen în
sine, care produce efecte și influențe asupra ta, asupra celor din jur
și poate chiar asupra tuturor oamenilor ori asupra mediului natural în
care trăim.
Posibilitățile de manifestare a riscurilor tehnologice, prin
exploatare voită, prin întâmplări/ accidente sau ca fenomen, sunt
complexe și comportă o diversitate crescută. Cunoașterea deplină a
posibilităților fenomenologice – atât a vulnerabilităților deținute, cât și
a metodelor și instrumentelor de potențial atac (adică a
amenințărilor), ori a influențelor pe care tehnologia le aduce asupra
oamenilor și naturii – este vitală pentru asigurarea unui echilibru de
securitate cibernetică punctuală/ particulară (atunci când intră în
responsabilitatea indivizilor sau a organizațiilor) ori de ansamblu
(atunci când ține de deciziile colective umane, naționale și
internaționale).
Depășirea ignoranței, punerea la îndoială, conștientizarea
expunerii la risc, observarea, atitudinea umilă și decentă în fața
amplorii fenomenului, formularea întrebărilor potrivite și calarea
corespunzătoare a atenției oferă deschidere spre explorare și
34 / 139
cunoaștere, în scopul dobândirii de control, flexibilitate, adaptare și
recalibrare a capacității de răspuns în fața riscurilor. Cu cât explorăm
mai mult fenomenele cu care ne confruntăm, cu atât vom fi mai
capabili să simțim amploarea implicațiilor, ritmul de evoluție al
fluxurilor evenimentelor și dinamica macro naturală, devenind mai
performanți în gestionarea incertitudinii și a condițiilor de control
limitat (în partea care ne revine).
Pentru o înțelegere corespunzătoare a situațiilor în care ne
aflăm, avem nevoie de i) explorare, investigare și diagnoză aplicată,
ii) activități de cercetare-dezvoltare-inovare conceptuală și iii)
informarea corespunzătoare a palierelor decizionale. Toate aceste
întrunesc condițiile necesare pentru documentarea, calibrarea și
ajustarea oportunității deciziilor – din perspectivă temporală; ca
potrivire, disponibilitate de valorificare, utilitate și promptitudine
procesuală.
Colaborarea și schimbul de informații (tehnice – rezultate ale
investigațiilor digitale, indicatori de compromitere, repere de expertiză
obținute în urma incidentelor gestionate; și conceptuale – cunoaștere
dobândită în cercetarea cu privire la influențele și efectele generate
de tehnologie) sunt esențiale pentru asigurarea unui nivel de protecție
sistemică, corelată, la nivel de ansamblu. În contextul actual de
interconectare, suntem cu toții parte dintr-un sistem mai mare;
securitatea noastră este dependentă de gradul de securitate de
ansamblu și – viceversa – securitatea ecosistemului este dependentă
de nivelul de protecție al celei mai slab protejate componente (zaua
slabă).
Dobândirea cunoașterii și înțelegerii individuale, dublată de
colaborarea și schimbul de informații la nivelul întregului ecosistem,
creează premisele pentru identificarea necesităților concrete de
dezvoltare și protejare, pentru elaborarea strategiilor de abordare și
pentru identificarea direcțiilor de acțiune în scopul asigurării unui nivel
optim (minim necesar) uniform de securitate cibernetică.
---o---
Tehnologia oglindește imaginea noastră – a oamenilor,
creatorii ei – într-o formă brută și amplificată, cu toate bunele și relele.
Gestionarea riscurilor pe care le comportă este dependentă de
capacitatea noastră de a ne conștientiza și gestiona slăbiciunile
35 / 139
noastre umane individuale, precum și de a colabora pentru
gestionarea celor colective și sociale.
Cu cât reușim să ne cunoaștem pe noi înșine și să evoluăm în
condiții de siguranță, securitate, reziliență și performanță, cu atât vom
putea imprima aceste caracteristici – în mod involuntar, automatizat
– în tehnologia pe care o dezvoltăm, contribuind în mod fundamental
la întărirea și consolidarea echilibrului vieții noastre și a mediului
înconjurător, în ansamblu.
Responsabilizarea
Să ieși din ignoranță, să iei atitudinile și să asiguri măsurile de
securitate cibernetică (precum orice alte măsuri de securitate și
siguranță, în general) așa cum o impune contextul de riscuri nu este
o decizie care să comporte libertate de manifestare. Este o
responsabilitate, o obligație cel puțin morală. În urma realizării
demersurilor necesare, când atingi un nivel de securitate minim
acceptat, abia atunci dobândești libertate de mișcare, întrucât
condițiile permit manifestarea și desfășurarea activităților în
siguranță.
Responsabilizarea reprezintă etapa de decizie și acțiune, în
urma documentării și fundamentării realizate în cadrul etapei de
înțelegere. Măsurile pe care le luăm au scopul de a aplica direcțiile
de acțiune, de a dezvolta competențele umane și capabilitățile
tehnice și procedurale, și de a asigura condițiile de reziliență propice
bunei funcționări a tehnologiei.
Pentru identificarea soluțiilor optime de securitate (cibernetică)
este nevoie să apelăm la creativitate, la inovare, la rezolvarea de
probleme cu complexitate ridicată, la aplicarea gândirii critice și
autonome, la explorarea fenomenologiei (prin extragere de principii
și aplicarea acestora în condiții personalizate/ adaptate necesităților),
la cercetare aplicată și dezvoltare de instrumente particularizate.
Responsabilitatea revine în egală măsură atât individual (ca
utilizatori ai tehnologiei, ca actori în diferitele etape din ciclul de viață
al tehnologiei, ca organizații sau orice alte forme de entități/ persoane
fizice sau juridice care au un rol/ o prezență în societate), cât și la
nivel sistemic/ integrat, la nivel de comunități, inter-organizațional,
36 / 139
național, supra-statal, internațional. Integrarea este un element
indispensabil pentru asigurarea aplicării uniforme a unui nivel minim
optim garantat de securitate cibernetică, care să prevină existența de
puncte slabe singulare ce pot fi exploatate și transformate în riscuri
materializate.
Zaua slabă
Un lanț cedează în punctul în care are zaua cea mai slabă. Tot
așa, securitatea cibernetică a unui ecosistem este dependentă de
punctul/ sistemul/ rețeaua/ infrastructura care are cea mai slabă
configurație de securitate. Pentru că toate sunt interconectate și
interdependente, împărtășind la comun caracteristica de
vulnerabilitate.
Un atacator va căuta întotdeauna calea care are rezistența cea
mai mică la înaintare, pentru a o exploata în scopul pătrunderii în
ecosistem. O dată intrat, prin mișcări laterale, își poate extinde
capacitatea de control asupra infrastructurilor, chiar și în condițiile în
care acestea sunt deconectate fizic unele de altele. Avem deja
suficiente exemple de infrastructuri (în special, tehnologice
operaționale) complet separate fizic de rețelele cu conectivitate la
internet sau la alte backbone-uri funcționale, care au fost totuși
penetrate prin diverse metode (cum ar fi, prin exploatarea proceselor
organizaționale sau a căilor procedurale) – a se vedea celebrul caz
de malware Stuxnet1.
În securitatea cibernetică nu există conceptul de imposibilitate
de manifestare a unui risc. În urma analizei riscurilor, se stabilește un
nivel de probabilitate – care este pozitivă și diferită de zero pentru
oricare eveniment imaginat/ identificat, adus în discuție.
Pentru a veni în preîntâmpinarea existenței unor ”portițe” de
pătrundere neautorizată, care să fie slab protejate, este utilă
atingerea dezideratului unui grad uniform optim (minim necesar) de
securitate cibernetică la nivelul întregului ecosistem protejat. Pentru
aceasta, este necesară responsabilizarea individuală a tuturor
actorilor (pentru a distribui uniform și echitabil cantitatea de efort
necesar a fi investit) și integrarea/ corelarea/ interconectarea
1 Stuxnet - https://en.wikipedia.org/wiki/Stuxnet
37 / 139
măsurilor de securitate cibernetică într-o arhitectură solidă, pentru a
permite o prevenție și o reacție promptă în fața riscurilor care se pot
materializa.
La nivel uman, responsabilitatea cade pe umerii tuturor: de la
utilizatori, la administratori de tehnologii IT&C, OT și emergente, la
responsabili dedicați de securitatea cibernetică și până la palierele
administrative, manageriale și decizionale. Pentru fiecare, în părțile
care le revin: uneori este necesară deținerea unei culturi generale și
a unei conduite precaute de securitate cibernetică (cyber hygene),
alteori este necesară înțelegerea aprofundată a modalității
funcționării sistemelor sau specializarea dedicată în domeniul
securității cibernetice. În oricare dintre cazuri, toți oamenii au nevoie
să gândească în termeni de mentalități de securitate cibernetică (să
cunoască riscurile; să știe principiile de desfășurare a incidentelor și
măsurile care se impun pentru asigurarea securității cibernetice; să
știe tacticile, tehnicile și procedurile – TTPs ale – atacatorilor; precum
și tacticile, tehnicile și procedurile de protecție).
Cunoașterea și cultura tehnologică, precum și de securitate
cibernetică, sunt și vor fi o necesitate imperativă pentru toată lumea,
în viitorul care se apropie. Trăim și continuăm să evoluăm într-o
societate înalt tehnologizată, al cărei grad de complexitate se află
într-o creștere exponențială, predispunând la o adaptare
proporțională a riscurilor la care ne expunem. Tehnologia ne
influențează în mod direct atât pe noi – creatorii ei – cât și mediul în
care ne desfășurăm viețile.
Percepția criticității
Percepția greșită asupra criticității sistemelor tehnologice
existente în unele industrii, precum și asupra criticității infrastructurilor
existente la nivel organizațional și național, este unul dintre aspectele
care necesită schimbare, spre a permite orientarea deciziilor pentru
implementarea corespunzătoare a securității cibernetice.
Sistemele care sunt considerate critice își păstrează caracterul
de sistem critic chiar și după implementarea de măsuri care asigură
redundanța acestora. Faptul că dezvoltăm soluții pentru asigurarea
continuității funcționalității de bază, prin comutarea către sisteme
secundare/ de redundanță nu elimină caracterul de ”critic” de la
38 / 139
nivelul sistemului în cauză. El rămâne critic în continuare; faptul că,
în caz de întrerupere a funcționării sale, există sisteme care să îi preia
sarcina în condiții de redundanță nu îl face mai puțin important.
Sistemul critic este, de regulă, cel mai performant din toată
gama de sisteme deținute, care ar putea asigura respectiva
funcționalitate. Trecerea pe redundanță scade, de cele mai multe ori,
performanța operațională și asigură continuitatea serviciilor numai
pentru o perioadă limitată de timp, cât să ofere răgaz de recuperare
și repunere în funcțiune a sistemului de bază.
Există diverse considerente pentru care deținătorii de rețele
tehnologice aleg să elimine calitatea de criticitate de la nivelul
sistemelor primare, atunci când asigură redundanță, cel mai frecvent
motiv fiind oportunitatea realizării de economii financiare. De regulă,
sistemele critice au impuse cerințe obligatorii de consolidare, care
impun costuri suplimentare. Prin eliminarea caracterului de criticitate,
se creează premisele reducerii investițiilor și a consumului de
resurse. Însă aceste decizii organizaționale/ de management
șubrezesc nivelul de securitate în ansamblul infrastructurii, generând
riscuri suplimentare față de cele identificate în analiza de risc primară.
Securitatea cibernetică impune implementarea progresivă a
măsurilor de securitate, în funcție de gradul de criticitate pe care îl
comportă sistemele avute în atenție. Adoptarea măsurilor
corespunzătoare nu modifică sub nici o formă alocarea inițială a
nivelului de criticitate, menținând în formă consolidată rațiunea/ logica
de securitate creionată în cadrul procesului de management al
riscurilor.
Analiza riscurilor este etapa în care se stabilește nivelul de
criticitate al sistemelor, acesta rămânând nemodificat în urma aplicării
măsurilor de securitate specifice care se impun.
---o---
Percepția asupra infrastructurilor critice suferă de imprecizie și
mai mult decât cea asupra sistemelor, atât din considerente de
obligații financiare (investiții) – așa cum este menționat mai sus, dar
care se ridică la cote mai înalte decât în cazul sistemelor singulare –
cât și din cauze de teamă față de responsabilitatea care revine
deținătorilor acestora.
39 / 139
De regulă, infrastructurile critice au un rol important la nivel
național, fiind îmbogățite cu măsuri suplimentare de securitate care,
de multe ori, sunt dificil de gestionat. Riscul de ordin uman/
organizațional de a evita demarcarea cu precizie a infrastructurilor
critice este destul de mare, ajungând ca anumite infrastructuri de
importanță majoră, de la nivelul unor industrii indispensabile pentru
funcționarea societală, să fie tratate necorespunzător și ineficient.
Mai mult, în unele industrii cu dinamică operațională ridicată
(cum este aviația civilă), entitățile/ organizațiile își asigură reciproc o
formă de redundanță funcțională, pentru garantarea continuității și
asigurării siguranței în condiții de criză/ extraordinare (în care sunt
perturbate semnificativ capacitățile serviciilor locale). Redundanța
reciprocă conduce la împrumutarea mutuală a caracterului existențial
(implicit, deci, și a nivelului de importanță și criticitate pe care îl
comportă fiecare dintre entitățile aflate în simbioză de redundanță),
impunând implementarea și asigurarea uniformă a condițiilor de
securitate și siguranță de ambele părți.
În condițiile actuale de înaltă interconectare și
interdependență, este necesară reconsiderarea terminologiei de
”infrastructură critică”, în sensul alocării acesteia la nivelul sectoarelor
industriale de importanță majoră/ națională/ regională/ internațională.
Deși este un demers cu slabe șanse de implementare (pentru că
dispune oricum de o lacună în capacitatea decizională, în varianta în
care se află – în prezent – la nivel organizațional) elevarea
conceptului de infrastructură critică de la nivel organizațional la nivel
de sector industrial ar permite alocarea de resurse în mod strategic,
venind în întâmpinarea riscurilor cu măsuri aplicate unitar, uniform,
corelat.
Totodată, complexitatea gândirii de securitate pe care ar
comporta-o crește semnificativ, la fel ca și responsabilitatea și
dificultatea procesului decizional implicit. Creșterea caracterului de
criticitate de la nivel organizațional la nivel de sector industrial poate
veni în întâmpinarea rezolvării unor probleme sistemice, privind
dezvoltarea și menținerea condițiilor optime de funcționare.
---o---
În condițiile de evoluție tehnologică și de creștere a
complexității contextului (social, tehnologic, natural) în care trăim,
40 / 139
vom avea de adaptat mai multe repere privind percepția criticității.
Momentan, încă mergem dintr-o inerție inconștientă, pe principii
dezvoltate cu două revoluții industriale în urmă.
Tehnologiile actuale și viitoare vor destabiliza reperele de
dinamică a vieții, modelând condițiile în care trăim și evoluăm.
Schimbările survenite necesită recalibrări conceptuale și perceptive
corespunzătoare.
Mentalitatea de implementare
Complexitatea contextului tehnologic și social va conduce la o
creștere semnificativă a cantității de informație pe care o avem de
gestionat, în toate domeniile. De asemenea, crește și diversitatea
instrumentelor pe care le folosim și a tipurilor de probleme pe care le
avem de rezolvat.
Nu doar limbajele de programare și instrumentele hardware
evoluează în ierarhii de organizare superioară, de structurare și
implementare eficientă, automatizată, ci și instrumentele, metodele și
armele cibernetice. Deja, trăim într-o lume în care atacurile și
securitatea/ apărarea cibernetică sunt realizate cu instrumente
automatizate, cu organizare internă homeostatică și capabilități de
metamorfoză și autoregenerare, cu funcționare în logică de
inteligență artificială și învățare automată (machine learning) care
excedează capacitatea omului de înțelegere și de control.
Diversitatea tehnologică nu mai permite omului să țină pasul
cu evoluțiile din domeniu, punând o presiune deosebită pe
responsabilii de securitate cibernetică pentru a se menține la zi din
perspectiva cunoașterii și a competențelor. În astfel de condiții de
evoluție tehnologică, omul are nevoie să își orienteze eforturile spre
dobândirea unor mentalități fundamentale pe care să le aplice în
înțelegerea și rezolvarea problemelor cu care se confruntă.
---o---
Un instrument de bază/ generic pentru înțelegerea și
gestionarea tehnologiei este reprezentat de analogie. Tehnologia
este creată, în esență, după chipul și asemănarea noastră, a naturii
și a modului în care percepem noi viața și existența. Este o reflecție
41 / 139
a noastră, a cine suntem și cum interacționăm, cum înțelegem și cum
evoluăm. Este o extensie a omului în exteriorul său.
Caracteristicile noastre umane și modul în care ne raportăm la
mediul care ne susține viața (cum îl percepem, cum interacționăm cu
el, cum ne poziționăm în el) sunt imprimate conștient sau inconștient
în produsele pe care le dezvoltăm, ajungând – în fapt – să
externalizăm și să automatizăm capabilități pe care le deținem nativ.
Toate aspectele pozitive și negative care ne aparțin și pe care le
preluăm, sunt imprimate în tehnologie și exprimate prin funcționarea
sa.
Dacă reușim să cunoaștem mentalitatea umană și
funcționarea vieții, putem în egală măsură să intuim mentalitatea de
funcționare tehnologică, facilitându-ne analize de inginerie inversă la
nivel de principii și procese. Cunoscând aceste substraturi, putem
defini necesitățile de securitate, putem structura diagnoza și
investigațiile, și putem imagina soluții funcționale (adaptate
fenomenologic) pentru consolidarea condițiilor de siguranță și
securitate în exploatarea tehnologică.
---o---
Un alt instrument util este organizarea și descompunerea
funcționării tehnologice după gândirea stivei ISO-OSI. Cunoscând
nivelurile de organizare și comunicare ale ISO-OSI, omul poate
”vedea” dincolo de forma de prezentare (exterioară) a produselor,
înțelegând structura interioară a proceselor hardware și software.
Modelul de referință pentru reprezentarea comunicațiilor, ISO-
OSI2 (International Organization for Standardization - Open Systems
Interconnection), spune că fiecare sistem tehnologic conține o
organizare internă de tip stratificat, în care informația este prelucrată
spre a asigura o traducere între nivelul de înțelegere umană și nivelul
de gestionare și comunicare mașinică. Între oricare doi oameni (sau
două puncte/ doi utilizatori/ doi beneficiari finali) care utilizează
tehnologia pentru a interacționa, se produce un flux de codificare a
conținuturilor umane în conținuturi tehnice, precum și un flux de
decodificare invers.
2 https://en.wikipedia.org/wiki/OSI_model
42 / 139
Modelul de referință ISO-OSI descrie o mentalitate
inginerească fundamentală, care permite explorarea în detaliu a
proceselor interne ale tehnologiei. În primul rând, specialiștii în
domeniile tehnice (dar nu numai ei, ci și alte categorii de oameni) pot
utiliza aceste repere ca puncte de pornire în organizarea muncii
proprii, ca fundație pentru dezvoltarea de soluții aplicate, modelate
conform necesităților locale/ punctuale/ specifice. Modelul reprezintă
liniile macro de funcționare, un șablon de mecanisme pentru
orientarea gândirii; aplicarea acestora se realizează adaptat, prin
apel la cunoaștere și creativitate, și prin valorificarea resurselor și
informațiilor disponibile în surse deschise sau de specialitate.
Suplimentar, putem observa că prin gruparea celor șapte
niveluri definite de ISO-OSI obținem o reprezentare funcțională/
principială/ simplificată a acestora, care se rezumă la trei scopuri de
bază: gestionarea logică a conținuturilor (sens și interfațare),
coordonarea unitară a implementării acestora (management,
funcționalitate și homeostazie) și implementarea efectivă
(gestionarea și valorificarea resurselor, și asigurarea proceselor auto-
reglatoare).
Modelul ISO-OSI simplificat permite înțelegerea mentalității
strategice a proceselor tehnologice de fundal, venind în sprijinul
comunicării și prezentării informațiilor/ cunoașterii în limbaj uman.
Instrumentele pot fi folosite atât pentru modelarea mentalității
inginerești, cât și pentru înțelegerea rutinieră și sincronizarea
comunicării în termeni de tehnologie.
Formarea unei mentalități generale de abordare și
implementare a reperelor de securitate cibernetică permite oamenilor
să se adapteze oricărei situații care necesită rezolvare de probleme.
Principiile generale, direcțiile strategice și mecanismele de
organizare tehnologică își păstrează validitatea și aplicabilitatea
generală.
Totodată, adaptarea locală/ implementarea este diversificată,
întrucât se realizează în condiții de libertate de manifestare a
creativității. Aceasta permite și se realizează prin explorare,
descoperire, cercetare și studiu ”spontane”, urmărind să răspundă cât
mai adaptat necesităților de dezvoltare și acțiune.
---o---
43 / 139
Mentalitățile de funcționare a tehnologiei pot fi formate prin
reconstrucție/ aplicare adaptată a legilor care guvernează existența
umană și naturală. Sunt necesare pentru calibrarea interacțiunii
omului cu produsele pe care le creează și pentru gestionarea/
adaptarea influențelor aduse de acestea, în scopul modelării
conștiente, responsabile și asumate a condițiilor de viață și de
evoluție a întregului ecosistem care ne susține viața.
44 / 139
SECURITATEA CIBERNETICĂ APLICATĂ
VI. Moștenirea și actualizarea
Securitatea informației
Până recent (anii 2000-2010), securitatea cibernetică era
reprezentată de securitatea informației – un domeniu ajuns la un
anumit nivel de maturitate, bine documentat, standardizat și
procedurat mulțumită eforturilor specialiștilor din lumea întreagă. (De
altfel, lucrarea de față nu își propune să repete reperele care se
regăsesc în literatura de specialitate – recunoscându-le pe deplin
validitatea și utilitatea – ci intenționează să vină cu completări care
scapă percepției prezente asupra fenomenului securității cibernetice
și să ofere o imagine de ansamblu asupra a ceea ce presupune
securitatea în context tehnologic extins.)
Securitatea informației se referă la securitatea tehnologiei
informaționale (precum și a informației care nu se regăsește în format
electronic – dar acest aspect depășește subiectul nostru de discuție),
adică a acelei tehnologii care procesează informație în format
electronic, care formează – generic vorbind – domeniul denumit IT&C
(Information Technology and Communications). Sunt nenumărate
referințele bibliografice care descriu condițiile și procesele de
securitate a informației, tratând în mod cuprinzător necesitățile de
asigurare a confidențialității, integrității, disponibilității, autenticității și
nonrepudierii informației (incluzând și elemente de protecția
informațiilor clasificate).
Domeniul securității informației are o abordare
organizațională, asigurând necesitățile de acoperire a
responsabilității individuale, ca parte componentă fundamentală din
securitatea cibernetică de ansamblu/ integrată.
Securitatea informației a început să migreze spre terminologia
de securitate cibernetică, atât din necesități de actualizare
conceptuală (de înțelegere/ de funcționare, precum și de marketing),
45 / 139
cât și în încercarea de a-și extinde aria de acoperire în mod
corespunzător și corect din punct de vedere tehnico-științific.
Dar este de reținut că migrarea conceptuală are ca fundație
adaptarea la evoluția tehnologică și procesuală, ci nu caracteristici de
securitate general valabile și aplicabile. De exemplu, calitatea de
reziliență este o caracteristică inerentă securității; a spune că
securitatea cibernetică aduce ideea de reziliență ca element de
noutate față de securitatea informației, reprezintă o eroare de
înțelegere tehnică a conceptelor și domeniilor. Reziliența este o
condiționalitate de rezistență/ stabilitate a tehnologiei în fața
materializării riscurilor, dintotdeauna.
Diferența pe care o aduce securitatea cibernetică constă în
amploarea/ scala de aplicare a conceptelor. Reziliența în securitatea
informației este aplicată la nivelul infrastructurilor organizaționale, în
timp ce, în securitatea cibernetică, se extinde la nivel industrial,
național și internațional, urmărind să acopere necesitățile de protecție
holistică.
Migrarea spre securitatea industrială
Securitatea cibernetică reprezintă – în principal – o abordare
centrată pe menținerea continuității operaționale a serviciilor. În plus
față de extinderea acoperirii după repere de organizare a activității
sociale (așa cum este menționată mai sus) – de la organizație, la
sector industrial, la nivel național și internațional – securitatea
cibernetică are în vedere completarea viziunii conceptuale cu aspecte
de securitate a tehnologiei industriale.
Devine din ce în ce mai stringentă necesitatea acoperirii
globale a securității cibernetice – pe orizontală – în toate domeniile
de activitate și asupra tuturor tipurilor de tehnologii, în vederea
îndeplinirii dezideratului de nivel minim obligatoriu de securitate
cibernetică. Reamintim că, în ceea ce privește rețelele de tehnologii
electronice (deci care se bazează pe exploatarea și valorificarea
mediului electromagnetic), punctul cel mai slab protejat reprezintă
vulnerabilitatea principală a întregii infrastructuri tehnologice. Este
esențială orientarea atenției asupra tuturor elementelor tehnologice,
spre a realiza analize de risc corespunzătoare și a preveni riscuri a
46 / 139
căror manifestare poate lua prin surprindere și poate provoca
dezastre.
Securitatea cibernetică migrează – în prezent – spre domeniile
industriale, căutând soluții de protejare a tehnologiilor operaționale
(OT – Operational Technology) și de gestionare integrată a reperelor
de securitate cibernetică, pentru sincronizarea capacităților de
prevenție, identificare/ detecție și reacție la incidentele cibernetice.
Mai mult, tehnologiile OT se dovedesc a avea un nivel de criticitate
superior tehnologiilor IT&C, întrucât prin afectarea lor pot fi produse
pagube consistente în spațiul fizic/ material (distrugeri, dezastre) și
pun în pericol siguranța și sănătatea vieții umane și a mediului
înconjurător.
Tehnologia OT devine nucleul securității cibernetice actuale (a
anilor 2010-2020), fiind aria care necesită cele mai înalte măsuri de
protecție. În prezent, este obiectivul central al securității, din
perspectiva abordării stratificate de apărare în adâncime (despre care
vom vorbi într-un capitol ulterior).
---o---
Securitatea cibernetică actuală va trebui să fie dezvoltată în
sensul diversificării, prin definirea securității cibernetice consacrate
(orientată pe tehnologiile IT&C), ca fiind securitate cibernetică
generală, și prin adăugarea unui nou set de domenii de securitate
cibernetică industrială (orientată pe tehnologiile OT), specializate în
diversele domenii/ sectoare industriale asupra cărora este aplicată.
Cooperarea și sincronizarea (instituționale) în reperele de
securitate cibernetică sunt dependente de o relaționare corelată, de
tip matrice. În prezent, există autorități de securitate cibernetică
generală (naționale și internaționale, precum entitățile de tip CERT-
xx3); în paralel, încep să fie dezvoltate și autorități de securitate
cibernetică industrială (naționale și internaționale, precum
3 CERT – Computer Emergency Response Team - https://en.wikipedia.org/wiki/Computer_emergency_response_team
47 / 139
EUROCONTROL-EATM-CERT4 sau EASA-ECCSA5, din domeniul
aviației civile).
Securitatea cibernetică nu este un domeniu divizibil, pe care
să îl tratăm separat, necorelat. O greșeală dificil de reparat pe termen
lung ar fi să împărțim elementele de securitate (care conțin
amenințările) de cele privind siguranța (care conțin vulnerabilitățile) și
să dezvoltăm o securitate cibernetică și o siguranță cibernetică.
Securitatea și siguranța sunt – ambele – caracteristici strâns legate/
unitare ale securității cibernetice. În egală măsură, eronat ar fi să
separăm domeniile IT&C și OT, și să le tratăm printr-o securitate
IT&C și o securitate OT, ca domenii distincte și necorelate.
Securitatea IT&C și securitatea OT sunt straturi/ niveluri de protecție
în adâncime ale aceleiași securități cibernetice.
Cum alegem să organizăm și să definim conceptual/ științific
necesitățile și măsurile pentru abordarea tuturor acestor fațete trebuie
să aibă doar scopuri de cunoaștere/ educative/ de înțelegere/ de
specializare, însă punerea lor în practică trebuie să aibă un puternic
caracter de unitate/ corelare/ sincronizare. Implementarea trebuie să
dispună de responsabilitate deplină la nivel individual (organizațional)
și cooperare strânsă pe orizontală, la nivel colectiv (comunitar,
industrial, național, internațional).
Atacatorii nu țin cont de cum alegem noi să privim și să ne
definim ariile de jurisdicție. Ei caută mereu cel mai vulnerabil punct
de acces și calea cu rezistența cea mai mică de exploatare a
infrastructurii, navigând lateral prin așa-numitele domenii tehnico-
științifice în baza cărora alegem noi să ne organizăm. Securitatea
cibernetică are nevoie de comandă și control unice la nivel de
entitate/ organizație, precum și de colaborare/ cooperare permanentă
cu toți actorii omologi și toate autoritățile (în domeniile securității
4 EUROCONTROL - instituție de nivel european, care gestionează domeniul navigației aeriene. EATM-CERT (European Air Traffic Management Computer Emergency Response Team) – structură a EUROCONTROL, responsabilă de securitatea cibernetică. https://www.eurocontrol.int/service/european-air-traffic-management-computer-emergency-response-team 5 EASA (European Union Aviation Safety Agency) – instituție de nivel european, care gestionează domeniul aviației civile. ECCSA (European Center for Cyber Security in Aviation) – structură a EASA, responsabilă de securitatea cibernetică. https://www.easa.europa.eu/eccsa
48 / 139
cibernetice generale și specializate), cu întreaga rețea de contacte,
de schimb de experiență și informații.
---o---
Suplimentar, rețeaua de cooperare trebuie să fie extinsă și
către celelalte autorități responsabile de securitatea clasică (a
mediului fizic în care trăim), în speță, instituțiile din sistemele
naționale de ordine publică, apărare și securitate națională, precum
și către autoritățile responsabile de relațiile internaționale, de punere
în aplicare a legii și de exercitare a justiției naționale și internaționale.
Securitatea cibernetică conține aspecte care nu pot fi rezolvate
pe cale civilă (cum ar fi atribuirea atacurilor, gestionarea conflictelor
inter-statale, procurarea și gestionarea probelor pentru instanță, s.a.),
fiind dependentă de capabilități de intelligence specializate, de
comunicare (și gestionare) strategică și diplomatică, precum și de
servicii de apărare, poliție, procuratură și juridice.
Gradul ridicat de asimilare a tehnologiei în viețile noastre ne
conduce spre necesitatea recalibrării vieții cu care eram obișnuiți în
spațiul fizic, adaptarea acesteia la necesitățile de interacțiune și
evoluție în spațiul cibernetic-fizic, și actualizarea corespunzătoare a
mentalităților, atitudinilor, comportamentelor și deciziilor.
Transpunerea vieții din mediul fizic în mediul cibernetic-fizic nu se
realizează 1-la-1, adică întocmai, ci prin adaptarea la caracteristicile
acestui nou spațiu (care permite scalare, multiplicare, amplificare
exponențială, corelare și sincronizare în timp real a eforturilor,
anonimizare, etc.).
Securitatea cibernetică se află la o răscruce de drumuri, în
care este necesară dezvoltarea reperelor de specializare industrială
(și/sau pe domenii de viață) și de interconectare într-o rețea extinsă
de încredere și coordonare reciprocă. Devine un domeniu de
anvergură, de ansamblu, holistic, strategic, integrator, unitar și de
corelare a deciziilor și acțiunii umane colective.
Adaptarea la tehnologiile emergente
Securitatea cibernetică devine un ecosistem complex, bazat
pe organizare (relativ) deschisă, democratică, construit pe premise
de încredere reciprocă, cu aplicabilitate și responsabilizare generală,
49 / 139
cu principii directoare ferme și cu adaptare individuală conform
necesităților contextului de securitate local.
În plus față de tehnologiile IT&C și OT, există o serie de evoluții
actuale și anticipări în spectrul tehnologic extins care trebuie luate în
calcul și tratate cu atenție, din perspectiva securității cibernetice,
întrucât vor fi prezente în toate aspectele vieții noastre, însoțind
procesul evoluției umane și influențând echilibrul mediului în care
trăim. Aflându-ne încă la începutul ciclului de viață al tehnologiilor
emergente, este de dorit să beneficiem de oportunitatea de a
implementa mentalități și mecanisme de securitate încă din stadiile
de cercetare, de concept și de design.
Tehnologii precum inteligența artificială, automatizarea și
autonomizarea, sisteme cibernetic-fizice, Big Data, 5G, realitatea
virtuală și augmentată, Internet of Things (și alte registre întregi de
astfel de concepte de rețele masive de dispozitive interconectate,
care formează Internet of Everything), conceptele de ecosisteme de
tip Smart (Home, City, Mobility, Nation, s.a.), tehnologia de
computație cuantică, spectrul de digitizare/ digitalizare/ transformare
digitală, biometria, bioingineria, dezvoltarea de infrastructuri de
procesare computațională, comunicațiile satelitare, explorarea
mediului aero-spațial, și multe altele – vor redesena substanțial
peisajul în care trăim.
Securitatea cibernetică are nevoie să fie parte integrantă din
acest proces de revoluție industrială, imprimând cele mai bune
practici și decizii în ciclul de viață al tehnologiei. Dincolo de reperele
palpabile/ inteligibile pentru protecția tehnologiilor IT&C și OT,
securitatea cibernetică extinsă la nivelul întregului spectru tehnologic
devine un fenomen care necesită înțelegere și gestiune atentă,
permanent.
Căile și modalitățile prin care tehnologia este exploatată și
întoarce în buclă de feedback influențe asupra omului și asupra
naturii, fac parte dintr-un proces amplu, natural, care depășește cu
mult limitele specializărilor de inginerie și informatică, fiind abundent
în nuanțe de științe umane și naturale. Decizia, managementul,
controlul, psihologia, sociologia, medicina, dreptul, s.a. sunt pârghii
care contribuie din plin la dezvoltarea capacității de control (în sensul
de înțelegere și gestionare corespunzătoare) asupra tehnologiei.
50 / 139
În prezent deja, tehnologia reprezintă un mod de viață, este un
partener de drum al omului, în procesul evoluției sale. Avem nevoie
să ne asigurăm că înțelegem în mod corespunzător fenomenul
tehnologic și că implementăm cele mai bune măsuri de securitate,
care să vină în sprijinul menținerii sănătății noastre și a mediului
înconjurător, și care facilitează creșterea și evoluția vieții.
Elemente de protejat
Înțelegând amploarea și complexitatea securității cibernetice,
putem trece în revistă în mod concis obiectivele pe care aceasta le
are de protejat și/sau de gestionat (fără să respecte o anumită ordine
de priorități), după cum urmează:
- Datele și informațiile în format electronic, în toate formele de
existență și valorificare (incluzând elaborarea, editarea, stocarea,
utilizarea, transmiterea, distrugerea);
- Oamenii, din toate punctele de vedere posibile (incluzând
sănătatea, securitatea, siguranța, condițiile de viață și de
evoluție);
- Tehnologia, ca bun material și ca facilitator pentru îndeplinirea
unor funcționalități (în condiții de înaltă performanță și calitate);
- Serviciile și operațiunile curente/ business-as-usual (care
utilizează tehnologia, pentru asigurarea îndeplinirii unor
funcționalități);
- Procese de organizare umană colectivă (organizațională,
socială), în care este implicată utilizarea/ exploatarea tehnologică;
- Resursele financiare, valorile, bunurile care pot fi afectate prin
intervenția tehnologiei;
- Obiective abstracte, precum imaginea, reputația, încrederea;
- Efectele colaterale pe care tehnologia le aduce asupra omului și
asupra naturii, în buclă de feedback (incluzând aspecte referitoare
la etică, psihologie, sociologie, naturalism, drept, s.a.).
Securitatea cibernetică aplicată (cu toate adaptările și
actualizările ei, referitoare la domeniile IT&C, OT și al tehnologiilor
emergente) are în vedere asigurarea condițiilor de securitate,
siguranță, reziliență și performanță a tuturor tehnologiilor materiale,
pe care noi le folosim pentru a modela lumea fizică și spațiul
cibernetic-fizic. Protejarea obiectivelor sus menționate se realizează
51 / 139
în baza analizelor de risc, cu luarea în considerare a unei ordini de
criticitate și a unei priorități care să asigure implementarea echilibrată
a condițiilor de securitate și utilizarea optimă a resurselor disponibile.
Eroarea de concept
Termenul de securitate cibernetică descrie, în esența lui, un
domeniu amplu. Mult prea amplu, comparativ cu domeniul căruia îi
este atribuit în mod practic.
Ștefan Odobleja a publicat în 1938 și 1939 lucrarea
enciclopedică denumită Psihologia consonantistă, care este
considerată drept teoria generalizată a ciberneticii. În aceasta, autorul
descrie o serie extinsă de procese/ fenomene naturale, cu dinamica
lor internă și cu relațiile lor de comunicare cu mediul exterior.
Norbert Wiener a publicat în 1948 lucrarea denumită
Cibernetica sau Știința comenzii și comunicării la ființe și mașini, prin
care pune bazele domeniului aplicat al ciberneticii, în forma
cunoscută astăzi. În aceasta, autorul descrie repere de control,
recursivitate și informații la nivelul sistemelor și organismelor
funcționale autonome.
În reperele etimologice, termenul cibernetică provine din limba
greacă, de la κυβερνητικός (kubernētikós, care înseamnă bun
conducător), fiind folosit ulterior și în limba franceză ca
cybernétique (care înseamnă arta de a guverna).
În engleză, este folosit în mod frecvent termenul cyber (ca
prescurtare de la cybernetics) pentru a face referire la tehnologiile
digitale, electronice, la domeniul IT&C, la mediul Internet și la spațiul
virtual creat de tehnologia informațională. Acesta a fost consacrat
inclusiv pentru conceptualizarea securității cibernetice
(cybersecurity), reprezentând domeniul referit în lucrarea de față ca
fiind securitatea cibernetică generală (adică cea care protejează, în
principal, contextul tehnologiei informaționale/ IT&C).
Termenul cibernetic (sau cyber/ cybernetic) este adaptat și
preluat în nenumărate forme – mai mult sau mai puțin sincronizate cu
înțelesul de bază al termenului – umplând un spațiu de marketing
pentru tehnologia actuală, de concepte futuriste pentru domeniul
științifico-fantastic sau de prognoze de viitor. (De exemplu, în
52 / 139
domeniul roboticii SF găsim forma de cyborg, care provine din
cybernetic + organism, denotând astfel organismele cibernetice).
---o---
Termenul de cyber folosit astăzi este o prescurtare injustă a
termenului cybernetics. Face referire la un domeniu mult prea nișat
(spațiul virtual creat de tehnologiile IT&C) comparativ cu înțelesul de
bază pe care îl poartă noțiunea inițială. În era tehnologică recentă
(adică de când au apărut instrumentele computaționale
informaționale) s-a produs o eroare de concept, limitând pe nedrept
înțelesul termenului de cibernetică/ cyber.
Tehnologia informației este o nișă a domeniului tehnologic de
ansamblu; la rândul lui, domeniul tehnologic este doar o componentă
a ciberneticii. Pentru că cibernetica conține atât repere de tehnologie,
cât și de analiză procesuală/ fenomenologică (conținută în științele
umane și naturale).
Prin urmare, securitatea informației este inclusă în securitatea
tehnologică (IT&C, OT, tehnologii emergente), care mai departe este
inclusă în securitatea cibernetică (tehnologie + științe umane + științe
naturale). Securitatea cibernetică este cea mai complexă formă de
protecție în context tehnologic, luând în considerare atât aspectele
aplicate (care formează actualul înțeles și actuala industrie de
securitate cibernetică – orientate în jurul tehnologiei informaționale și
îmbrăcate cu o puternică nuanță de marketing), cât și aspectele
colaterale/ complementare, care țin de interacțiunea cu tehnologia,
respectiv de influențele/ efectele pe care tehnologia le aduce asupra
omului și asupra naturii.
---o---
Securitatea cibernetică trebuie să le cuprindă pe toate. În
prezenta secțiunea cărții (denumită Securitatea cibernetică aplicată)
vorbim despre aspectele clasice/ uzuale ale securității cibernetice,
așa cum o înțelegem astăzi, nuanțând necesitățile de adaptare
practică. În următoarea secțiune, denumită Securitatea cibernetică
complementară, vom vorbi despre reperele care descriu
fenomenologia tehnologiei în context de modelare a omului și a
mediului, ca urmare a prezenței și utilizării acesteia în viețile noastre.
53 / 139
VII. Organizarea
Riscuri și incidente
Fiecare domeniu are o perspectivă proprie prin care putem
privi riscurile și incidentele ce pot afecta condițiile de securitate, de
siguranță și de bună funcționare a conținuturilor domeniului respectiv.
Are o abordare proprie privind necesitățile de management al
riscurilor și al incidentelor, propria expertiză și însumare de bune
practici acumulate de-a lungul timpului, care au adus o contribuție
semnificativă la îmbunătățirea vieții, la consolidarea echilibrului și la
asigurarea condițiilor care facilitează evoluția.
Vorbeam, în capitolele de început, despre diferențele dintre
mediul fizic și mediul virtual, punctând în mod deosebit pe calitatea
de măsurabilitate a primului și pe gradul ridicat de diversitate și
scalabilitate al celui de-al doilea. Conținuturile din mediul fizic sunt
relativ ușor observabile, măsurabile, trasabile, cuantificabile și
contabilizabile, în timp ce mediul virtual introduce amploare,
amplificare, incertitudine, anonimizare, interconectare, sincronizare
multi-spațială, și lipsă (parțială sau totală) de multe din caracteristicile
mediului fizic (adică lipsă de cuantificare, de trasabilitate, de
transparență, de înțelegere, de control).
Mediul virtual atrage după sine și o dificultate în percepție și
înțelegere, datorată dificultății noastre de a pătrunde și de a gestiona
în mod susținut tainele abstractului. Suntem încă dependenți de
mărturiile lumii fizice, în procesul nostru decizional, gândind – eronat
– că ce nu se vede nu există.
Din păcate pentru noi, riscurile și incidentele cibernetice pot
genera efecte complexe atât în mediul virtual, cât și în mediul fizic,
motiv pentru care alegem să referim mai degrabă spațiul cibernetic-
fizic, atunci când vorbim de securitatea cibernetică. Spațiul virtual
adaugă presiune asupra nevoii noastre de securitate, cumulând și
amplificând disproporționat spectrul de riscuri și incidente la care ne
expunem, prin crearea și utilizarea tehnologiilor noastre avansate.
---o---
Ca descriere sumară (cea extinsă fiind regăsibilă în
documentații/ ghiduri referitoare la managementul riscurilor și
54 / 139
incidentelor, din literatura de specialitate), avem în vedere că riscurile
sunt probabilitatea ca o amenințare să exploateze o vulnerabilitate.
Iar incidentele sunt riscuri materializate, sub acțiunea unor factori
(singulari sau în cumul).
Vulnerabilitatea este o variabilă internă, o slăbiciune proprie
sau de interacțiune, un reper care ține de domeniul siguranței (deci
presupune lipsa intenției) și intră în responsabilitatea și în controlul
proprii. Poate consta în: cercetări și studii eronate, design și
proiectare defectuoase, producție și dezvoltare imperfectă/
neglijentă, instalare, configurare și setare necorespunzătoare,
interconectare deschisă și neprotejată, finalizare/ casare/ distrugere
neglijentă sau necorespunzătoare.
Totodată, vulnerabilități pot reprezenta și: slaba pregătire
umană în specialitate, lipsa conștientizării, lipsa procedurilor
organizaționale, lipsa reglementărilor și politicilor, managementul
defectuos, lipsa resurselor umane sau pierderea motivației acestora,
lipsa resurselor materiale și financiare, lipsa investițiilor, lipsa
colaborării și sincronizării, s.a.
Amenințarea este un factor extern, prin intervenția căruia pot
fi produse perturbări sau distrugeri. Depășește capacitatea de control
proprie, și predispune la incertitudine și imprevizibilitate. Este un
domeniu care ține de domeniul securității (deci presupune
intenționalitate), fiind caracterizat de acțiune/ manifestare
direcționată. Poate consta în posibilități de: acces neautorizat,
interceptare, modificare/ alterare, ștergere/distrugere a conținutului,
provocare de daune și distrugeri materiale, imagologice sau psihice,
acțiunea din interior, manifestarea hazardului, s.a.
Categoriile macro de amenințări cibernetice sunt reprezentate
de:
- criminalitatea informatică: actori restrânși, cu scopuri individuale;
- terorismul cibernetic și hacktivismul: actori restrânși, cu scopuri
colective;
- spionajul cibernetic: actori colectivi/ statali, cu scopuri colective/
statale;
- războiul cibernetic: actori statali, cu scopuri statale.
Riscurile presupun probabilitatea ca o amenințare să
exploateze o vulnerabilitate. Materializarea riscurilor (adică atunci
55 / 139
când probabilitatea devine certitudine/ realitate) generează
incidentele cibernetice. Incidentele produse cu intenție sunt atacuri;
cele produse ca urmare a unei acțiuni umane neintenționate sunt
accidente; iar cele generate ca urmare a hazardului sunt întâmplări.
În practică, tindem să oferim mai multă atenție unora,
neglijându-le pe altele. Însă, toate sunt la fel de importante, fiind
necesar să tratăm în mod cuprinzător analizele de risc, să stabilim
corect nivelurile de criticitate (ale obiectivelor de protejat), să estimăm
realist impactul scontat, să stabilim ordinea de priorități pentru
asigurarea protecției și să ne asumăm căile de tratare a riscurilor.
---o---
Ideal vorbind, în lipsa amenințărilor, vulnerabilitățile s-ar afla în
așteptarea unui declanșator care să le transforme în surse
generatoare de perturbații și distrugere. Totodată, în lipsa
vulnerabilităților, amenințările devin derizorii, incapabile să producă
vreun rău asupra unor obiective care sunt complet securizate, imune.
Însă acestea sunt simple idealuri, care nu vor fi atinse vreodată;
oricâte măsuri de protecție am lua, nu vom ajunge niciodată la un
nivel total de protecție, de invulnerabilitate; dar, în egală măsură, nici
nu ne putem permite să neglijăm responsabilitatea de a lua toate
măsurile care se impun pentru asigurarea unui nivel de protecție
corespunzător.
În final, dezideratul este de a gestiona într-un mod creativ și
eficient riscurile, căutând să luăm cele mai potrivite măsuri care să ne
asigure un nivel de securitate optim. Când sunt prea puține, sunt
insuficiente, iar când sunt prea multe, pot fi ineficiente. Securitatea
cibernetică se realizează pe o fundație de principii și direcții/ șabloane
de bază, și se adaptează conform necesităților punctuale/ locale/
contextuale, prin gândire și soluții particularizate.
Gândirea strategică
Pentru a putea pune în operă cele mai potrivite măsuri de
prevenție și contracarare a materializării riscurilor, avem nevoie să
înțelegem gândirea/ mentalitățile/ comportamentele/ căile de
desfășurare a incidentelor.
56 / 139
Incidentele născute din lipsa intenționalității (întâmplări sau
accidente) impun asumarea corespunzătoare a responsabilității
oamenilor. Pentru a evita manifestarea incidentelor de acest tip,
avem nevoie să devenim conștienți de vulnerabilitățile create de noi
sau cu care putem intra în contact, prin interacțiunea cu tehnologia.
O înțelegere corectă cu privire la funcționarea tehnologiei pe care o
folosim conduce la creșterea consistentă a gradului de prevenție, prin
modelarea atitudinilor și comportamentelor cu care alegem să ne
organizăm mediul în care ne mișcăm.
Prin antrenarea mentalității și dezvoltarea imaginației, învățăm
să privim cu ochii minții procesele de fundal, care sunt desfășurate
pentru funcționarea tehnologiei, devenind capabili să distingem între
riscurile care predispun la accidente de cele care predispun la atacuri
cibernetice.
Atacurile cibernetice, în schimb, urmează un traseu care, de
cele mai multe ori, poate fi transpus într-un șablon și urmărit ca atare.
Există o constatare în mediul de specialitate al securității cibernetice,
care menționează că modul de acțiune al atacatorilor (deci, TTPs)
este același; cu trecerea timpului, doar mijloacele și instrumentele
diferă. Prin urmare, cu cât reușim să înțelegem mai profund
psihologia atacatorilor, cu atât vom deveni mai capabili să protejăm
lanțul de atac (calea/ etapele de pătrundere și de exploatare
neautorizată a sistemelor tehnologice).
Ca orice rezolvator de probleme, atacatorul caută cea mai
facilă modalitate prin care să își poată atinge scopurile. Înainte de
toate, desfășoară activități de cercetare și recunoaștere contextuală,
pentru a identifica punctele vulnerabile, de acces la sisteme. O dată
dobândit accesul neautorizat, caută calea internă care dispune de
rezistența cea mai mică la înaintare, realizează mișcări laterale,
salturi peste niveluri de acces și protecție, până când ajunge la
nucleu/ la core (în locația de unde poate dispune de drepturile de
acces și de vizibilitatea cea mai mare, potrivite scopurilor sale).
În funcție de nuanța atacurilor, autorii acestora încearcă să
deruleze activitățile într-un mod cât mai transparent și insesizabil,
astfel încât să nu fie descoperiți și opriți de mecanismele
automatizate de detecție sau de vigilența analiștilor tehnici/ a
investigatorilor care realizează vânătoarea de amenințări (threat
57 / 139
hunting). Și, evident, îi mai poate interesa (dar nu este valabil
întotdeauna) să și șteargă urmele activităților, atunci când se retrag
din sistemele exploatate.
Practic, diversitatea atacurilor este limitată doar de capacitățile
creative ale autorilor și de nuanțele scopurilor pentru care le
desfășoară. Dar mentalitatea de acțiune este trasabilă, încadrabilă în
șabloane, stereotipizabilă. (Aceste repere de mentalitate – a
hackerilor – pot fi înțelese în detaliu, prin prisma explorării domeniului
psihologiei cibernetice.)
---o---
Avem nevoie să gândim strategic, să intrăm în stadiul de
observatori și să ne imaginăm toate posibilitățile de materializare a
riscurilor, pentru a fi cu un pas înaintea incidentelor, a le preveni și a
pregăti un răspuns prompt la acestea. Securitatea cibernetică se
obține prin implementarea unei gândiri strategice coerente, cu
organizare eficientă și cu un cumul de măsuri proactive, reactive și
integrative, asumate în mod individual și corelate/ sincronizate la nivel
de ecosistem.
Activități
Pentru asigurarea securității cibernetice aplicate, este
necesară desfășurarea unei serii extinse de activități, atât tehnice, cât
și non-tehnice, care să permită gestionarea corespunzătoare a
riscurilor specifice. Tehnologia este un fenomen al vieților noastre,
care comportă multiple fațete sociale și naturale, dincolo de aspectele
tehnice/ funcționale/ inginerești.
Astfel, activitățile care generează cel mai mare grad de
eficiență în scopul securității cibernetice pot fi încadrate într-o serie
de categorii/ arii de funcționalitate instituțională și organizațională,
cum ar fi: guvernanța și organizarea strategică, reglementarea,
standardizarea, procedurarea, dezvoltarea capabilităților,
dezvoltarea culturii, a educației și a pregătirii, cooperarea națională și
internațională, cercetarea și adaptarea la condițiile de evoluție a
contextului tehnologic și social, gestionarea resurselor, a rolurilor și a
responsabilităților, s.a.
---o---
58 / 139
Reperele de guvernanță descriu principalul flux (ierarhic și
orizontal) de comunicare inter-instituțională/ inter-organizațională la
nivel industrial, național și internațional, în ceea ce privește
asigurarea securității cibernetice. Principalele linii de guvernanță, în
acest sens, presupun respectarea unor necesități de
responsabilizare și de acțiune, care au rolul de a fluidiza și sincroniza
interacțiunile, în scopul obținerii unei eficiențe comune/ uniforme a
măsurilor luate. Acestea includ:
- Asumarea responsabilității individuale (la nivelul fiecărei
organizații), privind asigurarea securității cibernetice a
infrastructurilor tehnologice exploatate.
- Integrarea/ corelarea capabilităților de prevenire, monitorizare,
detecție, analiză și management al incidentelor. Acolo unde nu
este posibil managementul integrat, este necesară cel puțin
monitorizarea unitară a acestui proces, pentru cunoașterea
situațională corelată și pentru coordonarea reciprocă.
- Intermedierea și facilitarea, prin entități-nod, a cooperării și a
acțiunilor de securitate cibernetică, la nivel intra-, inter- și extra-
sectorial/ industrial.
Entitățile-nod (ex. entitățile de tip CERT), trebuie să fie
organizate în structură arborescentă la nivel național și internațional,
pentru a asigura integrarea și comunicarea informațională, și să
respecte cerințele de neutralitate în interacțiunile de tip comercial,
pentru a evita dobândirea unui monopol asupra concurenților/
partenerilor din sectorul de activitate.
Autoritățile industriale/ naționale/ internaționale dispun de
premisele optime pentru a fi definite și dezvoltate ca entități-nod,
întrucât pot asigura – prin natura lor – respectarea necesităților de
neutralitate la nivel industrial, și pot eficientiza procesele de
reglementare și monitorizare a conformității, la nivelul industriei/
domeniului aflate în responsabilitate.
---o---
Pentru asigurarea unei bune guvernanțe globale, este
necesară dezvoltarea conceptuală a securității cibernetice aplicate,
în două direcții: i) un domeniu general și ii) multiple domenii
specializate/ industriale (prin adaptarea la domeniile specifice de
activitate).
59 / 139
Reglementările generale și specifice nu trebuie să se excludă
reciproc, ci să se completeze (să fie mutual compensatorii). În
securitatea cibernetică, lacunele legislative devin problematice
(întrucât creează puncte singulare de vulnerabilitate; zale slabe), în
timp ce suprapunerile/ dublările sunt gestionabile, prin asimilare și
echivalare (mulțumită flexibilității, maleabilității și scalabilității de care
dispune domeniul, în sine). Este de preferat ca măsurile să fie luate
în exces, decât, insuficient.
Reglementările trebuie să prevadă securizarea tuturor
obiectivelor de protejat, să asigure un echilibru în relația producție-
consum a tehnologiei și să faciliteze dezvoltarea armonioasă a
acesteia. Trebuie să traseze principii de dezvoltare care să asigure
condițiile de securitate, siguranță și sănătate a oamenilor și a naturii
în raport cu tehnologia, să creeze obligativitatea stabilirii concrete de
responsabilități instituționale, și să faciliteze deciziile de finanțare și
dezvoltare corespunzătoare (în infrastructură, tehnologie, resurse
umane, standardizare, normare, pregătire, cercetare-dezvoltare-
inovare).
---o---
Cerințele de securitate cibernetică sunt respectate prin
implementarea măsurilor corespunzătoare – care, la rândul lor, sunt
dependente de existența și gestionarea atentă a resurselor umane,
tehnice și financiare (și, evident, a oricăror alte tipuri de resurse, care
vin în completarea acestora). Oamenii, tehnologia și finanțele
formează un trio indispensabil pentru dobândirea și menținerea pe
termen lung a unui nivel optim de securitate cibernetică, aflându-se
într-o relație de interdependență și echilibru reciproc. Gestionate
corespunzător, devin capabilități valoroase și performante; neglijate,
lasă loc riscurilor să prolifereze.
Oamenii bine pregătiți și motivați își valorifică capacitățile
creative pentru a identifica și a implementa cele mai bune viziuni și
soluții de securitate cibernetică. Tehnologia potrivită și corespunzător
configurată (și adaptată, în cazul soluțiilor proprii/ in-house)
funcționează la parametri de performanță ridicați și îndeplinește în
mod țintit scopurile de securitate cibernetică. Și, în egală măsură,
existența și utilizarea fondurilor financiare pentru facilitarea creșterii
capabilităților și motivației umane, respectiv pentru dezvoltarea
60 / 139
capabilităților tehnice, face posibilă îndeplinirea cerințelor de
securitate cibernetică. Fără oricare dintre aceste trei condiționalități,
capacitatea de protecție în fața riscurilor tinde să fie nulă.
---o---
Implementarea și integrarea mecanismelor de securitate
cibernetică necesită un grad ridicat de cooperare tehnică (schimb de
informații tehnice, raportare de incidente, consultări reciproce privind
implementarea și adaptarea măsurilor de securitate cibernetică,
sincronizarea răspunsului la incidente, s.a.) și non-tehnică (în
cercetare-dezvoltare-inovare, în management, în procesele
decizionale, sincronizarea civil-militară, s.a.), atât în interiorul
organizațiilor, cât și la nivel industrial, național și internațional.
Spre îndeplinirea necesităților de sincronizare, cooperarea și
coordonarea se realizează prin intermediul comunităților (tehnice, de
cercetare, academice, decizionale, politice, etc.) dedicate scopurilor
de securitate cibernetică, și al unor formate de lucru care permit
schimbul de informații, de cunoaștere, de experiență și de bune
practici.
Cooperarea în securitatea cibernetică este dependentă de
menținerea încrederii reciproce (mai ales în situațiile de comunicare
a informațiilor tehnice), precum și de agilitate în acțiune și în decizie.
Stabilirea unui cadru eficient de relaționare/ cooperare/ colaborare/
coordonare inter-instituțională facilitează depășirea cu succes a
provocărilor de securitate cibernetică și – în situațiile ideale – asigură
reziliența de ansamblu a ecosistemului tehnologic și industrial în fața
riscurilor aferente.
---o---
Activitățile de cercetare sunt indispensabile industriei
securității cibernetice și societății tehnologizate, atât din perspectiva
asigurării unui nivel optim de protecție în fața riscurilor cibernetice,
cât și pentru menținerea unui grad ridicat de deschidere și adaptare
la provocările generate de evoluția tehnologică și socială.
Soluțiile de securitate cibernetică pot fi produse în masă și, în
egală măsură, pot fi dezvoltate în mod particularizat pentru
satisfacerea unor nevoi punctuale, locale. Este necesară adoptarea
unor perspective, mentalități și mecanisme de adaptare, de
cercetare-dezvoltare-inovare, care să asigure menținerea în stare
61 / 139
actualizată a înțelegerii și a capabilităților de prevenire și contracarare
a riscurilor de securitate cibernetică, la nivel individual și de
ecosistem.
Procesele de actualizare conceptuală și tehnologică sunt
dependente de mijloace de facilitare și stimulare a cooperării în
interiorul domeniului securității cibernetice și în exterior, cu industriile
tehnologice digitale și emergente, cu celelalte industrii și domenii de
specialitate, cu mediul academic, respectiv cu oricare alte tipuri de
instituții și organizații cointeresate.
VIII. Capabilitățile
Echilibrul de capabilități
Pentru asigurarea și menținerea securității cibernetice este
nevoie deopotrivă de implementarea și valorificarea corespunzătoare
a unor capabilități tehnice dedicate, precum și de direcționarea
conștientă a deciziilor și acțiunilor umane. Cele două se
condiționează reciproc; în lipsa oricăreia dintre ele, eforturile de
securitate cibernetică sunt zădărnicite, indiferent cât de bine ar fi puse
în practică.
Capabilități umane
Omul este zaua cea mai slabă din lanțul măsurilor de
securitate cibernetică. Pentru a construi o arhitectură de securitate
cibernetică adaptată necesităților reale, este nevoie atât de
cunoaștere și expertiză, cât și de o capacitate ridicată de a înțelege
substraturile de funcționare a tehnologiei și de a modela, reprezenta
și reproduce viziunea abstractă asupra spațiului cibernetic-fizic.
Totodată, chiar dacă arhitectura tehnică implementată dispune
de un nivel ridicat de automatizare, tot este nevoie de contribuțiile
omului pentru a valida conținuturile gestionate de sistemele tehnice
și pentru a completa cu eforturi permanente de urmărire a ultimelor
vulnerabilități și amenințări (adică, de threat hunting), dincolo de
limitele de competență ale tehnologiei. Iar, în final, mai este necesară
62 / 139
și voința pozitivă a omului, în lipsa căreia se pot naște inacțiuni,
acțiuni distructive neintenționate, respectiv acțiuni distructive
intenționate, care pot iniția, intermedia, facilita sau conduce la
derularea de incidente cibernetice.
---o---
Realitatea înconjurătoare – descrisă fie de mediul fizic, fie de
spațiul cibernetic-fizic – este condiționată de deciziile și de acțiunile/
inacțiunile umane, în principal. Nu ne putem aștepta ca tehnologia să
rezolve de la sine probleme pe care noi nu ni le asumăm. Tehnologia
este un instrument, un ajutor, o extensie a omului în exteriorul său,
care pune în implementare voința și viziunea umană. Direcționarea
evenimentelor decurge în primul rând din decizia umană.
Tehnologia este o creație a noastră, care dispune – în mod
firesc – de un nivel inferior de autonomie și libertate de mișcare,
comparativ cu omul. Prin simpla prezență a omului pot fi zădărnicite
eforturi și capabilități tehnice implementate cu migală, cu consum
ridicat de energie. Dar este de preferat ca acest raport de
superioritate a omului asupra propriei creații să se mențină ca atare,
de-a lungul evoluției vieții; inversarea balanței de control în favoarea
tehnologiei ne-ar fi nu tocmai utilă (ca să fim optimiști în exprimare).
Pentru asigurarea funcționării în condiții de echilibru a
tehnologiei și pentru menținerea capacității de control asupra
acesteia, avem nevoie să deținem un nivel rezonabil de
conștientizare tehnologică (generală), să dispunem de cunoaștere
specializată privind producția, operaționalizarea și securitatea
tehnologică, și să valorificăm pârghiile potrivite pentru direcționarea
în sens constructiv a voinței și deciziilor umane (contracarând, în
principal, riscul amenințărilor provenite din interior).
---o---
Oamenii (populația, utilizatorii, în general) au nevoie să dețină
cultură tehnologică, să înțeleagă cum funcționează tehnologia – în
procesele ei de fundal, în interacțiunea cu omul și cu mediul în care
se desfășoară – pentru a putea percepe riscurile firești pe care
aceasta le poate presupune. În lipsa unei culturi de bază, a unei
mentalități de tip ingineresc, oamenii sunt privați complet de
înțelegerea implicațiilor tehnologiei și a modalității de desfășurare a
incidentelor cibernetice; pentru ei, tehnologia este o cutie neagră cu
63 / 139
care interacționează în necunoștință de cauză, în orb, în baza unei
încrederi fără fundație.
---o---
În lipsa conștiinței tehnologice, oamenii sunt privați de
libertatea de decizie și acțiune, lăsându-se purtați – involuntar – de
inerția tehnologiei și a conținuturilor inconștiente imprimate prin
deciziile colective (de dezvoltare și de gestionare a vieții umane –
individuale și sociale). Întorcându-ne la principiile enunțate în
capitolele anterioare, ne reamintim că lipsa conștiinței nu implică în
mod automat și lipsa fenomenelor, a realității. Faptul că nu știm că
ceva se întâmplă, nu ne privează de urmările pe care acel ceva le
generează în viețile noastre și în mediul în care trăim.
Conștientizarea trebuie făcută cu prioritate la nivelurile
decizionale (organizaționale, industriale, naționale, internaționale) și
la nivelul utilizatorilor generali, care nu dețin specializări și cunoaștere
tehnologică. Decizionalii sunt esențiali pentru propagarea dispozițiilor
și facilitarea măsurilor de securitate cibernetică, în timp ce utilizatorii
sunt indispensabili pentru respectarea acestora (caracter acțional
proactiv) și evitarea neglijențelor (caracter acțional pasiv).
---o---
Dezvoltarea și implementarea unui cadru corespunzător
(uniform, instituționalizat) de securitate cibernetică se realizează cu
ajutorul atât a specialiștilor care dețin cunoaștere, abilități și
competențe (KSA – Knowledge, Skills, Abilities) în domeniul dedicat
al securității cibernetice, cât și prin intermediul celor care asigură
producția, configurarea și operaționalizarea tehnologiilor (IT&C, OT,
emergente). Funcționarea tehnologiei în parametri de siguranță și
securitate presupune eforturi consistente ale responsabililor care
gestionează toate etapele ciclului de viață tehnologic.
Dobândirea specializărilor se realizează prin ample procese
educaționale și de instruire, precum și prin testarea și exersarea
capacității de valorificare a KSA-urilor, de adaptare a acestora la
necesitățile operaționale și de sincronizare/ colaborare în scopul
integrării eforturilor și eficientizării acțiunilor.
Specializările presupun cunoașterea în profunzime a
tehnologiei, înțelegerea modalității ei de funcționare și vizualizarea
abstractă. Metaforic vorbind, specializările tehnologice sunt similare
64 / 139
unei limbi străine; reprezintă cunoașterea și capacitatea omului de a
vorbi în limba tehnologică/ mașinică, de a înțelege activitățile și
dinamica din mediul electronic hardware și software, de a percepe
evenimentele normale/ regulate și pe cele cibernetice, de a extrage
meta-informații și înțelegeri, și de a lua deciziile potrivite pentru
asigurarea bunei funcționări a tehnologiei.
Pe cât de profund este caracterul de cutie neagră, al
tehnologiei, în percepția necunoscătorilor, pe atât de evident este cel
de cutie transparentă, în percepția specialiștilor. Orice proces sau
tehnologie funcțională își datorează stabilitatea și performanța, unei
munci meticuloase, depuse de un număr mare de oameni, de-a
lungul întregului ciclu de viață tehnologic (inclusiv în etapa de utilizare
și valorificare, pentru că utilizatorul final ajunge să fie atât beneficiar,
cât și contribuitor cu elemente de feedback, la procesul de recalibrare
și actualizare a versiunilor).
Nimic din tot ce produce omul nu a deprins de la sine
capacitatea de manifestare în condiții de echilibru, ci printr-o atentă
implementare aflată în controlul omului. Chiar și algoritmii de
inteligență artificială care creează și dezvoltă conținuturi secundare
în condiții reale sau aparente de autonomie, au în structura lor un
echilibru imprimat de om, un echilibru născut din inteligența umană/
naturală. O formă de trasabilitate și responsabilitate există în toate
acțiunile noastre umane.
---o---
La nivel organizațional (și, implicit, în structură piramidală, la
nivel industrial, național și internațional) – acolo unde sunt utilizate
tehnologii – este imperativ necesar să fie asigurate atât administrarea
și exploatarea IT&C și OT, cât și securitatea cibernetică. În funcție de
posibilități și de specificul impus prin reglementări, această asigurare
a serviciilor de funcționalitate în condiții de siguranță și securitate,
poate fi realizată cu specialiști proprii sau externi.
Iar la formarea structurilor și la alocarea responsabilităților,
este important să existe toate aceste funcționalități (operaționalizare
+ securitate) și să fie atribuite în mod distinct și necomasabil.
Structurile și responsabilii de securitate cibernetică se ocupă strict cu
securitatea cibernetică; structurile și responsabilii de
operaționalizare, strict doar cu operaționalizarea funcțională.
65 / 139
Comasarea responsabilităților produce mai mult rău decât bine:
creează suprasaturație, conducând la zădărnicirea oricăror eforturi
de asigurare atât a funcționalității, cât și a securității.
În contrapondere, toate aceste structuri și capabilități umane
tehnice trebuie aduse într-un context de colaborare fructuoasă. Cu
cât cooperarea și coordonarea reciprocă sunt mai fluente, mai
naturale, cu atât prevenția și răspunsul la incidentele cibernetice sunt
mai rapide, mai sincronizate și mai eficiente.
---o---
Asigurarea securității cibernetice se realizează prin două tipuri
de activități (detaliate în capitolul Activități): tehnice și non-tehnice.
Cele tehnice țin de managementul echipamentelor și capabilităților
tehnologice. Cele non-tehnice țin de managementul procedural, de
strategii și politici, de reglementări și de transpunerea dinamicii
tehnologice în termeni umani, inteligibili.
Aceste două categorii necesită o reprezentativitate
corespunzătoare la nivelul structurilor și responsabilităților de
securitate cibernetică, astfel încât să permită gestionarea
cuprinzătoare a riscurilor și să dispună de echilibru în încărcarea cu
sarcini.
---o---
Specializările de securitate cibernetică trebuie definite
conceptual, în baza unor matrice de cunoaștere, abilități, competențe,
roluri și responsabilități, și integrate ca șabloane în registrele cu
calificări, ocupații și profesii, la nivel național.
Definirea unui set generic de specializări de securitate
cibernetică facilitează dezvoltarea industrială, managementul
organizațional al resurselor umane (în procesele de recrutare,
retenție, creștere/ specializare, motivare, dezvoltarea carierei),
gestionarea eforturilor de creștere a culturii, educației și pregătirii, și
certificarea competențelor în domeniu.
---o---
Cooperarea și schimbul de informații sunt vitale pentru
menținerea condițiilor de înaltă responsivitate, a capabilităților de
prevenție și reacție la incidente. Dezvoltarea și participarea activă în
cadrul comunităților dedicate (de specialiști tehnici, non-tehnici,
66 / 139
manageriali, decizionali, etc.) permite gestionarea unitară a riscurilor
de securitate cibernetică, eliminarea zalelor slabe și alinierea/
sincronizarea capabilităților deținute.
Comunitățile permit dezvoltarea reciprocă, dincolo de rațiunile
de competitivitate și concurență în liniile de business. Riscurile
cibernetice depășesc capacitatea individuală de răspuns, obligând
organizațiile să coopereze uniform, integrat, la nivel industrial,
național și internațional. Securitatea cibernetică dezvoltă percepția și
conștiința apartenenței individului la un organism/ ecosistem cu
organizare superioară, a dependenței dinamicii proprii față de
echilibrul mediului care susține funcționarea/ viața. Globalizarea și
nivelul ridicat de complexitate și interconectare al tehnologiei unesc
și responsabilizează indivizii și organizațiile spre atingerea unui scop
comun: securitatea (cibernetică) comunitară.
Capabilități tehnologice
Există documentații întregi, standarde, ghiduri, proceduri,
recomandări privind măsurile tehnice care pot fi puse în aplicare
pentru asigurarea securității cibernetice. Forumuri de experți
documentează – permanent – necesitățile de adaptare la evoluția
tipurilor de tehnologii și caută să eficientizeze permanent
metodologiile aplicate.
Într-o perspectivă de ansamblu, este nevoie să înțelegem
câteva principii de bază pe care le avem de urmărit, ca scopuri/
idealuri de implementare și funcționare a mecanismelor de securitate
cibernetică în infrastructurile pe care le protejăm.
---o---
Automatizare și threat hunting. Este ideal să automatizăm
mecanismele de monitorizare, detecție și răspuns rapid la incidentele
de securitate cibernetică. Orice acțiune care poate fi automatizată,
trebuie inclusă în acest calup de capabilități autonome și să ruleze în
grija unor algoritmi de urmărire liniari și/sau comportamentali, astfel
încât să asigurăm descoperirea pattern-urilor malițioase cunoscute și
pe cele care modifică dinamica activității interne a rețelei de la linia
de manifestare normală/ uzuală.
67 / 139
Capabilitățile automatizate au nevoie de configurare
corespunzătoare (care să asigure imprimarea corectă a mentalității la
nivelul algoritmilor și filtrelor de detecție automatizată) și de
administrare și urmărire umană continue. Mai mult, în condițiile în
care unele atacuri cibernetice sunt generate sau facilitate de
instrumente/ arme autonome, care dispun de inteligență artificială,
devine necesar ca echipamentele de securitate să poată ține piept
nivelului de complexitate al incidentelor/ atacurilor, prin capabilități
similare și configurări corespunzătoare.
Apoi, avem nevoie să completăm capabilitățile tehnice
automatizate cu capabilități de threat hunting, care sunt dependente
de expertiza înaltă a analiștilor tehnici. Echipele de analiști
completează activitățile de configurare și administrare a tehnologiilor
de securitate cibernetică (care poartă o nuanță pasivă, de
implementare și menținere a funcționalității echipamentelor de
securitate) cu activități de explorare, investigare, testare, verificare
(care poartă o nuanță proactivă, de exploatare a cunoașterii puse la
dispoziție de echipamentele de securitate, în scopul preîntâmpinării
și prevenției incidentelor cibernetice).
---o---
Soluții mainstream și soluții adaptate. La fel ca și
documentațiile fundamentale/ standardele etc., soluțiile mainstream
formează un ocean industrial, aflat într-o continuă evoluție și
adaptare. Există nenumărate soluții de securitate cibernetică la toate
nivelurile din stiva ISO-OSI, care oferă facilități de tip senzorial
(pentru captarea și perceperea activității din interiorul echipamentelor
și rețelelor tehnologice) și de securitate (pentru prelucrarea, analiza
și gestionarea evenimentelor informatice).
Au avantajul de a oferi o protecție rezonabilă pentru
majoritatea riscurilor tehnice, dar dezavantajul de a nu răspunde
întotdeauna necesităților punctuale de securitate, specifice
contextului personalizat, unic, al fiecărei infrastructuri informatice.
Sunt dezvoltate pe un fond de expertiză și cunoaștere mature, în
domeniu (de către oameni care cunosc bine substraturile
tehnologice), însă au și o orientare pecuniară și scopuri mercantile
(care le îndepărtează de la scopul existenței lor, prin excesul de
marketing în care sunt îmbrăcate).
68 / 139
Soluțiile adaptate sunt născute în urma eforturilor de
cercetare-dezvoltare-inovare, pentru a răspunde în mod specific
necesităților punctuale, locale, ale unei anumite infrastructuri,
comunități de infrastructuri sau industrii. Permit tratarea specifică a
necesităților de securitate cibernetică și răspund în mod explicit
riscurilor cu care se confruntă dezvoltatorul. Soluțiile adaptate vin în
completarea soluțiilor mainstream (și, de multe ori, le pot și înlocui),
însă presupun o investiție mai mare de eforturi, timp și resurse umane
in-house. Implementate corespunzător, pot aduce economii
considerabile, atunci când înlocuiesc soluțiile mainstream omoloage.
---o---
Simplu vs. Complex – o curbă a lui Gauss. Capabilitățile
tehnice (ca orice alte măsuri și eforturi) de securitate cibernetică
trebuie să fie implementate în mod inteligent, urmărind un echilibru
de complexitate și funcționalitate. Dacă sunt prea puține, devin
insuficiente; dacă sunt prea multe și alambicate, devin potrivnice.
Idealul constă într-un nivel mediu de complexitate, dar implementat
corespunzător, adaptat, calibrat.
Putem gândi o curbă a lui Gauss care descrie eficiența
măsurilor de securitate cibernetică în raport cu complexitatea
acestora. Soluția optimă constă în protejarea tuturor punctelor
vulnerabile, printr-o abordare robustă/ compactă, dezvoltată
inteligent, în baza principiului apărării în adâncime.
Apărarea în adâncime
Toate măsurile de securitate cibernetică trebuie să fie
dezvoltate – în ansamblul/ integralitatea lor – într-o variantă robustă,
care să asigure reziliența în fața riscurilor specifice. Principiul apărării
în adâncime satisface acest deziderat împrumutând gândirea
domeniului securității fizice stratificate, care plasează obiectivul cel
mai important în centrul/ nucleul nivelurilor de protecție.
Securitatea fizică – deși nu pare a avea legătură cu domeniul
cibernetic – este primul nivel de protecție al tehnologiei, asigurând
condițiile fizice necesare funcționării nealterate și neîntrerupte, a
acesteia. Securitatea cibernetică are în vedere protejarea spațiului
cibernetic-fizic creat de tehnologie; să nu uităm că toată
69 / 139
funcționalitatea pe care o primim prin intermediul software-ului este
susținută de echipamente hardware, a căror protecție este primordial
necesară pentru existența serviciilor dorite.
---o---
Apoi, protecția fizică devine ineficientă în lipsa procedurilor și
regulilor de acțiune și conduită – individuale, organizaționale,
comunitare, s.am.d. Pentru că nu materialul fizic este cel care oferă
protecția fundamentală, ci decizia omului privind gestionarea
acestuia. Regulile și procedurile sunt o formă de asumare
multilaterală, a oamenilor, că sunt conștienți și contribuie organizat la
realizarea dezideratului comun, reprezentat de protecția tehnologiei
împotriva manifestării riscurilor specifice. Oferă trasabilitatea și
contabilizarea acțiunilor. În lipsa acestora, nu numai că eforturile de
prevenire și reacție la incidente cibernetice sunt zădărnicite, dar este
lăsată cale liberă și manifestării întâmplărilor, accidentelor sau
exploatărilor din interior.
---o---
Primul nivel tehnologic asupra căruia trebuie să ne îndreptăm
atenția – din perspectiva nevoii de protecție – este cel al tehnologiei
informaționale/ informatice (IT&C). În mod special, trebuie să avem
în vedere rețelele cu conexiune la mediul Internet și pe cele
administrative (care găzduiesc serviciile de bază organizaționale),
întrucât reprezintă principalele căi de transmitere a malware-ului.
Rețelele informatice trebuie să aibă implementate mecanisme
de security-by-design; să fie gândite, concepute, construite,
configurate și exploatate cu respectarea tuturor cerințelor de
securitate specifice, pentru a asigura protecția de-a lungul întregului
ciclu de viață al tehnologiei. Rețelele trebuie să fie percepute ca o
tehnologie în sine, care însumează echipamente și le valorifică într-
un context de complexitate superioară. Aici, măsurile de securitate
sunt aplicate atât la nivel de echipament (endpoint) și utilizator (end-
user), cât și în mod integrat (la nivel de rețea).
---o---
Cu un nivel mai ridicat de importanță trebuie să tratăm rețelele
de tehnologii operaționale (OT), întrucât oferă servicii specializate (de
regulă, cu caracter industrial) și sunt percepute ca având un grad
mare de sensibilitate/ criticitate.
70 / 139
Măsurile de protecție ale rețelelor OT sunt particularizate,
adaptate specificului echipamentelor, și presupun un nivel de
precauție ridicat, care poate obliga chiar și la funcționarea total
independentă a acestora, în lipsa conexiunilor fizice cu orice alte
rețele sau echipamente tehnologice. Acțiunile în scopul asigurării
funcționării și protecției acestora sunt bine documentate și
procedurate, pentru a asigura o cât mai mică expunere la erori sau la
exploatare nedorită.
Mecanismele de securitate cibernetică aplicate la nivelul
rețelelor OT pot fi integrate cu cele prevăzute pentru alte tipuri de
rețele, în scopul monitorizării și detecției centralizate a incidentelor
cibernetice, însă trebuie avută în vedere implementarea de
mecanisme de comunicații unic-sens (ex. diode de date care
limitează fizic transmisia de date într-un singur sens: din rețeaua OT
către rețelele cu nivel inferior de criticitate).
---o---
Un subiect de actualitate și de viitor, dar aflat încă în perioada
de incubație, este securitatea tehnologiilor emergente (care țin de
transformarea digitală, de inteligența artificială, de simbioza om-
tehnologie, de transformarea capacităților de procesare
informațională de la binar la cuantic, de interconectare masivă în
conglomerate tehnologice de tip Smart, de automatizare și
autonomizare, s.a.).
Aceste noi tehnologii sunt și vor fi prezente în toate peisajele
tehnice care ne înconjoară, făcând ca separația dintre tehnologia
informatică și cea operațională să fie din ce în ce mai greu de
respectat și de gestionat. Actuala revoluție industrială se va resimți în
toate tipurile de echipamente și rețele pe care le utilizăm, crescând
conectivitatea în mod exponențial și gestionând procesarea
informațiilor în mod centralizat, în spiritul Big Data.
Din păcate, multe dintre aceste tehnologii emergente nu au
implementate mecanisme de securitate, din cauza necesităților de
suplețe funcțională și performanță ridicată. Faptul că se află încă într-
o etapă incipientă din ciclul lor de viață – de cercetare, de concepere,
de (re)modelare, de design, de arhitectură – ar trebui să reprezinte
un atu care să permită implementarea securității inerente (security-
by-design), să le ranforseze și să le consolideze atât la nivel
71 / 139
individual, cât și sistemic. În lipsa imprimării securității inerente,
tehnologiile emergente vor reprezenta puncte de vulnerabilitate care
predispun la destabilizarea (din perspectiva securității) peisajului
tehnologic, în ansamblul său.
Securitatea noilor tehnologii va trebui tratată în corelație cu
tehnologiile informatice și operaționale, în logică unitară/ contiguă
care să asigure eficiența maximă atât la nivel de endpoint, cât și de
ansamblu, eliminând pe cât posibil punctele slabe/ vulnerabile care
pot pune în pericol echipamentele, rețelele sau întregul ecosistem
tehnologic din care fac parte.
Pentru a dobândi un grad ridicat de securitate cibernetică, este
dezirabilă integrarea capacităților de monitorizare și detecție a
incidentelor cibernetice la nivelul tuturor tipurilor de tehnologii –
informatice, operaționale și emergente – care să permită dobândirea
unei vizibilități extinse a echipamentelor și rețelelor deținute, a unei
cunoașteri situaționale precise și a unei capacități ridicate de
prevenție și contracarare a manifestării riscurilor cibernetice.
---o---
Modelul apărării în adâncime este necesar, dar nu este
suficient pentru abordarea completă a securității cibernetice, întrucât
relevă o gândire tradițională, de protejare a infrastructurilor
tehnologice aflate în spațiul propriu (on-premises).
Tehnologiile de care dispun organizațiile, în prezent, depășesc
granițele incintelor proprii, migrând spre cloud și spre servicii software
care rulează în platforme hardware dinamice (ex. tehnologia 5G
presupune dezvoltarea unei infrastructuri hardware de rețea care să
permită gestionarea flexibilă a serviciilor software suportate),
impunând adaptarea mentalităților de securitate cibernetică spre
abordări care gestionează încrederea (ex. drepturi de acces, niveluri
de privilegii, filtrare de tip firewall, control la nivelul fiecărei acțiuni).
Modelele și conceptele arhitecturale pentru organizarea
securității cibernetice evoluează (ex. modelul Zero-Trust6, modelul
Software Defined Perimeter7, s.a.), în încercarea de a răspunde în
6 https://ldapwiki.com/wiki/Zero%20Trust 7 https://en.wikipedia.org/wiki/Software_Defined_Perimeter
72 / 139
mod adaptat și cât mai eficient provocărilor introduse de riscurile
tehnologice.
---o---
Mai mult, tehnologiile emergente complică fluxul de influențe
aduse de tehnologie (în general) asupra omului, societății și mediului
înconjurător. Securitatea tehnologică va trebui privită dincolo de
implicațiile tehnice pe care le comportă, modelându-și abordarea din
perspectivă holistică și fenomenologică, înglobând aspectele
colaterale care descriu condițiile de evoluție umană, socială și
naturală.
Măsuri
Măsurile de securitate cibernetică pot fi tehnice (în legătură cu
și facilitate de tehnologie), fizice (relative la spațiul fizic care
găzduiește și protejează tehnologia) și administrative (relative la
procesele organizaționale și faptele umane). Pentru completitudinea
stării de securitate cibernetică, măsurile trebuie să urmărească
prevenția și reacția la incidentele cibernetice (care sunt, în fapt,
manifestări ale riscurilor cibernetice), precum și coordonarea unitară/
corelată prin integrarea eforturilor și asimilarea rolului de entitate într-
un ecosistem funcțional superior.
Dezideratul ar fi ca setul de măsuri implementate să asigure
predicția incidentelor cibernetice, astfel încât manifestarea acestora
din urmă să fie prevenită/ preîntâmpinată. Predicția este un
conglomerat de condiții și precursori care avertizează – cu o
probabilitate suficient de ridicată – cu privire la desfășurarea unui
incident cibernetic.
Însă predicția este o capacitate greu de atins, datorită
dificultății – tehnice, financiare și decizionale – de a implementa un
nivel de performanță atât de ridicat, lipsei justificării acestei
performanțe în raport cu necesitățile reale (pentru că măsurile sunt
luate în mod proporțional cu riscurile analizate) și capacității scăzute
a omului de a gestiona cu anticipație evenimentele (dar acest aspect
va fi abordat mai târziu, întrucât deprinde un caracter filozofic-
procedural.)
---o---
73 / 139
Pentru prevenția materializării riscurilor, este necesară o serie
de măsuri proactive de securitate cibernetică, incluzând:
- Dezvoltarea de reglementări, strategii, standarde și bune practici,
proceduri, politici și controale de securitate cibernetică.
- Managementul integrat al riscurilor de securitate cibernetică,
planificarea răspunsului la incidente cibernetice și la situații de
criză, dezvoltarea de proceduri de contingență.
- Monitorizarea conformității și desfășurarea de audituri
procedurale.
- Evaluarea stării de securitate cibernetică a infrastructurilor
tehnologice și ranforsarea stării de securitate cibernetică. (măsură
care are și un caracter proactiv, de pregătire).
- Monitorizarea permanentă a stării de securitate cibernetică (cu rol
dublu: pentru cunoașterea situațională și pentru monitorizarea
conformării la reglementări și standarde).
- Formarea culturii, creșterea nivelului de conștientizare,
dezvoltarea educației și instruirii (formarea cunoștințelor,
competențelor și abilităților) în securitate cibernetică, și exersarea
capacității de răspuns individual și corelat/ integrat, la incidente
cibernetice.
- Proiectarea și dezvoltarea (incluzând configurarea, administrarea,
mentenanța și adaptarea) capabilităților tehnice specializate,
pentru pregătirea, prevenția și reacția la incidente. (măsură care
are și caracter reactiv).
- Desfășurarea de activități de cercetare-dezvoltare-inovare pentru
identificarea soluțiilor adaptate optime, de securitate cibernetică,
precum și asimilarea tehnologiilor digitale și emergente.
- Cooperarea, schimbul de informații și coordonarea pe orizontală
în toate sectoarele de activitate, pentru pregătirea și prevenția
incidentelor.
- Adaptarea managementului organizațional la necesitățile de
gestionare agilă a tehnologiei și securității cibernetice.
---o---
Incidentele cibernetice pot fi derulate atât prin gestionarea
necorespunzătoare sau prin exploatarea intenționată a tehnologiei,
cât și prin pârghii de interacțiune umană/ socială. Pentru a putea
obține un nivel corespunzător de securitate cibernetică, este necesar
74 / 139
să luăm măsurile care se impun pentru un management cuprinzător
al riscurilor cibernetice, asigurând deopotrivă evaluarea riscurilor,
prevenirea și managementul incidentelor cibernetice.
Riscurile pot fi acceptate, neacceptate, mitigate sau
transferate. În final, managementul riscului reprezintă o decizie cu
privire la modalitățile de tratare a situațiilor de risc, în funcție de
specificitățile acestora și de oportunitățile ivite, astfel încât să fie
asigurat un nivel optim de securitate și siguranță. Întreaga securitate
cibernetică se învârte în jurul dinamicii procesului de management al
riscurilor, aflat într-o continuă adaptare și recalibrare la contextul de
desfășurare a activităților.
---o---
Pentru reacția la incidente cibernetice, este necesară o serie
de măsuri reactive de securitate cibernetică, incluzând:
- Exploatarea, valorificarea și adaptarea capabilităților tehnice
specializate.
- Analiza și investigarea evenimentelor cibernetice.
- Activitățile de threat hunting.
- Managementul integrat al incidentelor de securitate cibernetică,
incluzând detecția, răspunsul, reducerea, blocarea, recuperarea,
remedierea, raportarea și ținerea evidenței incidentelor.
- Colaborarea și coordonarea unitară pentru răspunsul la incidente
cibernetice.
---o---
Pentru dobândirea eficienței sistemice, este necesară o serie
de măsuri integrative de securitate cibernetică, incluzând:
- Cooperarea, integrarea, coordonarea și corelarea eforturilor, în
mod intra- și inter-relațional, a sectoarelor industriale.
- Facilitarea cooperării sectoarelor industriale cu mediile
guvernamental, administrativ și academic, precum și cu industriile
de securitate cibernetică și de tehnologii digitale și emergente
(atât din perspectivă tehnică și procedurală, cât și pentru
cercetare-dezvoltare-inovare).
- Asumarea responsabilității individuale și integrarea eforturilor în
scopul dobândirii capacității de acțiune unitară.
75 / 139
- Dezvoltarea unui sistem de sisteme (cu capabilități tehnice și de
colaborare) pentru monitorizarea, prevenția și reacția corelată
(acolo unde este posibil) la incidentele cibernetice.
- Dezvoltarea de comunități, consorții, parteneriate și rețele de tip
CSIRT și CERT.
- Dezvoltarea de celule de criză, pentru managementul situațiilor de
criză și a incidentelor cibernetice de amploare.
- Integrarea rețelelor la nivel inter-organizațional (comunitar),
industrial, național și internațional.
- Sprijin reciproc în implementarea măsurilor pentru dobândirea și
creșterea rezilienței în securitatea cibernetică.
IX. Implicații practice
Dincolo de aspectele tehnice ale securității cibernetice, există
o serie de implicații umane de care avem nevoie să ținem cont în
procesul implementării efective a conceptelor, planurilor,
arhitecturilor și măsurilor specifice. Nu întotdeauna corectitudinea
tehnică este cea care descrie statu-quo-ul securității cibernetice din
teren – așa cum ne-am aștepta – cât implicațiile practice privind
diferențele de percepție și înțelegere a conceptelor tehnico-științifice,
interesele subiective, diversitatea și imperfecțiunea legislativă,
condiționalitățile contextelor de aplicare, s.a.
Pentru responsabilii de implementarea securității cibernetice/
pentru ingineri/ pentru informaticieni este lipsit de sens să nu fie
implementată varianta tehnică corectă a arhitecturilor și măsurilor de
securitate cibernetică. Pare absurd, de exemplu, ca palierul
decizional să desconsidere argumentațiile tehnice și să
implementeze doar parțial (sau deloc, uneori) viziunea de securitate
cibernetică; ori ca palierul managerial să nu înțeleagă principalele
necesități de securitate cibernetică, chiar și în urma traversării
frecvente a unor anumite situații/ incidente.
Însă viața nu este întotdeauna așa cum o imaginăm din punct
de vedere tehnic. Ba, dimpotrivă, urmează o evoluție mai degrabă
naturală, plină de imperfecțiuni și inadvertențe, corectitudinea tehnică
76 / 139
rămânând – de cele mai multe ori – un deziderat, un ideal spre care
tindem și pe care ni l-am dori materializat în contextul în care trăim.
Eforturile de marketing și alte dependențe non-tehnice care
condiționează forma implementării depășesc, de multe ori, limitele
oamenilor tehnici.
Și, decât să încercăm să reglăm procentul de corectitudine al
vieții, mai degrabă ne centrăm atenția asupra unor aspecte cu
relevanță practică, pe care le întâlnim frecvent în procesul
implementării securității cibernetice. Cunoașterea acestora ne poate
scăpa de un stres derizoriu și ne poate ajuta să înțelegem pârghiile
de care avem nevoie pentru a dobândi o variantă optimă a securității
cibernetice aplicate.
Climatul conceptual
Conceptualizarea corectă conduce la implementare corectă
Construirea conceptului este esențială pentru implementarea
practică. Cu cât teoria răspunde mai bine necesităților reale, cu atât
eficientizează procesul de implementare și de utilizare a resurselor.
Pentru că oglindește corespunzător realitatea. Însă, cu cât teoria este
mai greșit scrisă, cu atât aplicarea ei va genera un rezultat mai
încărcat cu erori.
În orice rezolvare de probleme, cunoașterea corespunzătoare
a problemei permite formularea și planificarea corectă a soluției –
care, dintr-un foc, înseamnă 50% din drumul de parcurs până la
realizarea obiectivului. Atunci când știi cu ce te confrunți și poți defini
corect problemele, jumătate din drumul către rezolvarea acestora
este deja parcurs. Lipsa cunoașterii teoretice sau definirea greșită a
problemei, conduc la îngreunarea sau zădărnicirea eforturilor de
implementare a soluției; conduc, lesne, la eșec.
Securitatea cibernetică are nevoie de implementare unitară,
pentru a permite capacitarea în timp real a capabilităților de prevenție
și răspuns la incidentele cibernetice. Conceptualizarea măsurilor de
securitate cibernetică, indiferent cum este scrisă, trebuie să releve și
să conducă, fără echivoc, la această implementare unitară. Altfel,
riscă să zădărnicească orice efort practic de protecție.
77 / 139
Pentru că spațiul cibernetic-fizic este puternic interconectat și
interdependent. Și, după cum ziceam într-un capitol anterior, dacă
lăsăm chiar și un punct vulnerabil/ neprotejat în tot peisajul tehnologic
pe care îl deținem, acela riscă să devină zaua slabă care permite
exploatarea întregului ecosistem. Trebuie să acționăm uniform și
sincronizat pentru asigurarea unei protecții unitare, care să nu
permită existența de puncte vulnerabile neacoperite.
Există riscul ca reperele conceptuale să fie dezvoltate
diferențiat, separat. Pentru că domeniul securității este vast; iar în
procesul evoluției sale de la generic la specific (așa cum se întâmplă
în procesul adaptării securității cibernetice la necesitățile de protecție
industrială și, ulterior, a tehnologiilor emergente – a se revederea
capitolul Moștenirea și actualizarea) va suferi multiple mutații și
adaptări, generate de multitudinea de perspective ale celor
responsabili de dezvoltarea sa.
Specialiștii în securitate cibernetică nu cunosc specificul nișat
al industriilor, iar specialiștii în domeniile industriale nu cunosc
specificul securității cibernetice. În fiecare dintre părți, oamenii vor
încerca să adapteze noul la ceea ce deja cunosc: specialiștii în
industrii vor încerca sa muleze securitatea cibernetică pe
caracteristicile industriilor, iar specialiștii în securitate cibernetică vor
încerca să modeleze industriile ca să răspundă necesităților de
securitate cibernetică. Este un proces natural, datorat imposibilității
de acoperire a unei perspective de ansamblu asupra plenitudinii
domeniilor tehnologice.
Însă, dincolo de aceste impedimente care ne conduc – cu o
probabilitate crescută – la generarea de erori de concept și
înțelegere, un lucru este cert: că necesitățile de protecție ale spațiului
cibernetic-fizic diferă substanțial de cele ale spațiului fizic. Pentru că
avem de-a face cu o diferență consistentă a reperelor de organizare:
spațiul fizic este controlabil, trasabil, nescalabil, gestionabil, în timp
ce spațiul cibernetic-fizic este scalabil, sincronizabil, anonimizabil,
netrasabil, necuantificabil. Dacă în spațiul fizic ne permitem
implementări disparate a măsurilor de protecție, spațiul cibernetic-
fizic obligă la integrarea și corelarea deplină a eforturilor de
securitate.
78 / 139
Oricine dezvoltă securitatea cibernetică doar în pătrățica pe
care o cunoaște și nu se corelează cu omologii spre a extinde
măsurile la nivel de ansamblu, greșește din start și creează puncte
de vulnerabilitate laterale. Pentru dezvoltarea corectă a securității
cibernetice avem nevoie de colaborare continuă și de completare
reciprocă, de complementarizarea eforturilor. Mai mult, avem nevoie
să depășim chiar și orgoliile concurențiale, întrucât riscurile
cibernetice ridică probleme existențiale, de supraviețuire a business-
urilor; oricine gândește și acționează singular se izolează, devenind
victimă sigură a incidentelor cibernetice.
Abordarea disparată a securității cibernetice conduce la riscul
dezvoltării asincrone a domeniului sau al împărțirii/ separării/
segregării lui. Iar conceptualizarea necorelată conduce în mod
inevitabil la o implementare parțială și necorespunzătoare. La nivel
practic, oamenii au ajuns să nu se poată corela pentru simplul fapt că
așa este scris la nivelul forurilor superioare, care au trasat direcțiile în
mod eronat.
Apoi, o implementare disparată conduce la disiparea
responsabilității. Cu cât există mai mulți responsabili de securitate
cibernetică într-o singură entitate/ organizație, care au sarcina de a
implementa doar părți ale acestui domeniu (spre exemplu, unul să fie
responsabil de aspectele de securitate, gestionând amenințările și
intenționalitatea, iar altul să fie responsabil de aspectele de siguranță,
gestionând vulnerabilitățile și lipsa intenționalității), cu atât
responsabilitatea asupra gestionării incidentelor se diluează. În
situația unui incident cibernetic, va fi dificilă sincronizarea acestora și
va genera un vid de asumare asupra pagubelor create. Fiecare va
arunca vina asupra celuilalt.
Securitatea cibernetică aplicată are nevoie de comandă și
control unice, care să asigure prevenție și răspuns în timp real la
incidentele cibernetice, precum și răspundere deplină asupra
desfășurării evenimentelor. Necesită asumarea responsabilității într-
un singur punct, care să coordoneze toate capabilitățile deținute și să
se sincronizeze cu alți omologi, responsabili de buna funcționare și
de administrarea tehnologiei, respectiv de gestionarea aspectelor cu
specific industrial.
---o---
79 / 139
Știința vs. Tehnologia. Armonizarea conceptualizării cu
implementarea
Dacă analizăm corespondența dintre natură și știință găsim că
natura se manifestă unitar, într-un continuum, iar știința o analizează
și o disecă conceptual pentru a-i putea descrie cât mai fidel
funcționarea. Dar faptul că știința abordează cunoașterea despre
natură în mod ramificat și diferențiat, nu înseamnă că natura
funcționează ca atare.
Să luăm exemplul corpului uman: în ansamblul său, este un
organism autonom, cu homeostazie internă, dar la nivel de detaliu
găsim nenumărate organe cu funcționalități distincte și miliarde de
celule care îndeplinesc roluri punctuale, precise. Însă organele sau
celulele nu sunt componente autonome; în lipsa contextului în care
funcționează, adică în lipsa corpului care le găzduiește, ele nu pot
funcționa și nu își găsesc rostul. Faptul că noi le identificăm și le
descriem științific, în mod independent și separat de marele corp din
care fac parte, ne ajută doar la buna înțelegere a fenomenelor. Ne
ajută să dobândim cunoaștere deplină asupra particularităților
existențiale și funcționale. În final, cunoașterea detaliată, ne oferă
control asupra proceselor, spre a putea echilibra întregul trup în
situația în care se află în stări de funcționare dezechilibrată.
Deci cunoașterea poate fi ramificată și studiată pentru
aprofundarea detaliilor, însă funcționarea reală a corpului (și a
oricărui alt fenomen autonom al naturii) se realizează într-un
continuum, într-o stare de puternică interdependență a elementelor
inerente. Iar pentru asigurarea acestui continuum, analiza științifică a
elementelor componente continuă cu identificarea necesităților de
interdependență, a corelațiilor interioare, a fenomenelor inerente, a
fluxurilor de comunicare și a schimburilor de substanțe și de energie.
Aceasta este știința ciberneticii, care descrie nu numai
componentele, ci și modul lor de interacțiune și necesitățile de
complementaritate.
Similar, securitatea cibernetică trebuie să funcționeze în mod
unitar, în practică, precum un organism complet, autonom, cu
homeostazie internă. Iar conceptualizarea trebuie să fie realizată în
format integrat, descriind în mod fluent un continuum al elementelor
constituente, aflate într-o firească comunicare interdependentă. Chiar
80 / 139
dacă putem permite detalierea separată a unor mari branșe
conceptuale/ industriale/ tehnologice, în final, acestea trebuie să fie
corelate și puse într-un spațiu comun de funcționare, sub comandă și
control unice, sub responsabilitate unică.
---o---
Implementare pe orizontală
Unele industrii au dezvoltat și au implementat separat
domeniile de lucru operaționale, precum siguranța, securitatea,
operațiunile, managementul, etc. pentru a putea aloca
responsabilități echitabile și a putea controla procesele de lucru.
Securitatea cibernetică poate întâmpina dificultăți de dezvoltare,
dacă fiecare dintre aceste branșe își dezvoltă propria viziune asupra
domeniului, fără să se coreleze cu branșele partenere/ omoloage.
Securitatea cibernetică se aplică pe orizontală în toate
domeniile și subdomeniile industriale, pentru a putea gestiona în mod
unitar riscurile cibernetice. În lipsa coordonării centralizate, există nu
numai riscul de desincronizare între diferitele branșe industriale
(precum siguranța și securitatea), dar și cel al dezvoltării unor
concepte care nu își găsesc locul și sensul în peisajul spațiului
cibernetic-fizic.
Spre exemplu, dacă tratăm diferit siguranța și securitatea, va
exista o confuzie în privința locului securității cibernetice. Pe de o
parte, putem întâlni o suprapunere falsă de terminologie între
”securitate” și ”securitatea cibernetică”, datorată simplului fapt că
amândouă poartă în denumire termenul de ”securitate”. Însă, așa
cum am explicat în capitolele de început, aceasta este doar o
coincidență terminologică; securitatea cibernetică cuprinde
deopotrivă atât reperele de securitate (cu amenințările și
intenționalitatea-i specifice), cât și reperele de siguranță (cu
vulnerabilitățile și lipsa de intenționalitate).
Riscurile cibernetice reprezintă probabilitățile ca anumite
amenințări să exploateze anumite vulnerabilități. Securitatea
cibernetică ar fi putut în egală măsură, să se numească ”protecție
cibernetică”, și atunci ar fi fost mai evidentă neutralitatea pe care o
poartă domeniul vizavi de cele două branșe, siguranța și securitatea.
Securitatea cibernetică trebuie aplicată uniform, de-a lungul
întregului spectru tehnologic, nediscriminatoriu și corelat. Atacatorii
81 / 139
nu țin cont de modalitatea în care alegem noi să privim domeniile
științifice sau să ne organizăm activitatea și responsabilitățile; vor
căuta întotdeauna cea mai vulnerabilă cale pe care o pot exploata
spre a-și derula atacurile, în continuum-ul tehnologic pe care îl au în
interes.
Și trebuie să acceptăm că securitatea cibernetică suportă
universalitate în implementare, fără să încercăm să reinventăm roata
și să o redenumim pentru simplul scop de a o potrivi în specificul
tehnologiei pe care o protejăm. Spre exemplu, după cum putem
observa și în literatura de specialitate, nu există un domeniul
”siguranță cibernetică” care să complementarizeze ”securitatea
cibernetică”, pentru simplul motiv că aceasta din urmă conține în mod
nativ toate reperele de ”siguranță”.
Astfel, dacă într-o industrie operațională (deci non-IT&C)
există două mari branșe – a siguranței și a securității (cum este cazul
aviației civile) – nu trebuie să inventăm o ”siguranță cibernetică”, cu
care să complementarizăm securitatea cibernetică. Pentru că
securitatea cibernetică deja cuprinde atât reperele de securitate, cât
și pe cele de siguranță. Trebuie doar să le aplicăm în mod adaptat, la
nivelul branșelor industriale ”securitate” și ”siguranță”, și apoi să
corelăm și să sincronizăm eforturile dintre acestea, sub comandă și
control unice (din perspectiva securității cibernetice).
Similar, orice alt domeniu de lucru curent, precum domeniul
operațional, domeniul managementului calității, domeniul
managementului organizațional s.a. (care sunt întâlnite în mod
frecvent în organizarea muncii) necesită aplicarea adaptată a
securității cibernetice, fără a crea anumite denumiri specifice care să
conțină terminologia de ”cibernetică”. Securitatea cibernetică suportă
flexibilitate suficientă pentru a fi adaptată în mod nativ necesităților
branșelor enumerate anterior (operațiuni curente, de business, de
management organizațional, etc.).
Pentru simplul fapt că avem o branșă industrială denumită
”operațiuni” sau ”operațional”, de exemplu, (ceea ce este normal să
întâlnim la nivel industrial, pentru că în organizarea curentă a
activităților se face referire la activitățile de bază ca fiind activități
”operaționale” sau ”operațiuni”), nu înseamnă că atunci când aplicăm
securitatea cibernetică în acea branșă a operațiunilor curente, trebuie
82 / 139
să definim automat un nou domeniu al ”operațiunilor curente
cibernetice”. Pentru că riscăm să creăm confuzii cu termeni care deja
există în literatura de specialitate a securității cibernetice. În cazul
exemplului de față, ”operațiunile cibernetice” se referă la activitățile
tehnice de securitate cibernetică care au ca scop prevenția și
managementul incidentelor cibernetice. Iar acestea sunt desfășurate
pe orizontală, în toate locurile unde este aplicată securitatea
cibernetică, adică și în branșa de ”siguranță”, și în branșa de
”securitate, și în branșa de ”operațiuni curente”, și în branșa de
”management organizațional”, și tot așa.
Securitatea cibernetică – de bază/ tradițională – este un
domeniu matur, care conține în explicitarea sa teoretică/ conceptuală,
multe noțiuni și repere de organizare menite a oferi performanță și
eficiență în implementare. Iar aplicabilitatea securității cibernetice în
domeniile industriale nu necesită neapărat definirea de terminologie
nouă, cât indicații și direcții corecte de implementare pe orizontală,
care să permită adaptarea la necesitățile particulare, de nișă, și
sincronizarea/ integrarea capacității de comandă și control pentru
gestionarea incidentelor.
---o---
Triada viziune-coordonare-implementare
În conceptualizare, este important să ținem cont de
necesitatea reprezentării corespunzătoare a triadei viziune-
coordonare-implementare. Pentru că cele trei se află într-o puternică
interdependență și proporționalitate. Fără viziune, nu știm ce și cum
să implementăm. Fără implementare, degeaba avem viziune și
strategii. Iar fără coordonare și organizare, nu putem pune în
implementare viziunea.
Viziunea este reprezentată de nivelul conceptual, de
standardizare, reglementare și strategie, și conține conștiința de
ansamblu privind funcționarea și direcția de evoluție. Coordonarea
este reprezentată de zona managerială, care asigură organizarea
implementării, precum și comunicarea/ raportarea nivelului de
progres, către nivelurile ierarhice superioare; sincronizează eforturile
spre dobândirea și menținerea unității și a rezilienței holistice.
Implementarea este reprezentată de zona executivă, care
83 / 139
gestionează în mod direct problematica și răspunde pentru
corectitudinea procesuală.
---o---
Echilibru în construcție și reprezentare
Securitatea cibernetică este un proces complex, existent în
toate ciclurile de viață a tehnologiei. Nu este doar o serie de măsuri
care pot fi aplicate din exterior, cu care să se peticească lipsa
intrinsecă de securitate a tehnologiei. Trebuie să fie gândită și
proiectată în mod echilibrat, începând din stadiile de cercetare,
design și producție (pentru asigurarea unei fundații stabile, denumită
și security-by-design/ built-in security), continuând în stadiul de
utilizare (cu măsuri de prevenție, protecție și management procesual)
și încheind în stadiul de casare (ca acțiuni finalizatoare, care
preîntâmpină scurgerea de informații sau utilizarea
necorespunzătoare post eveniment).
Scopul de ansamblu vizează obținerea unei capacități
predictive, care să alerteze cu privire la apariția unui incident de
securitate cibernetică, să prevină manifestarea acestuia și să
gestioneze corespunzător evoluția sa, pentru a limita pe cât posibil
efectele nedorite pe care acesta le generează. Ca atare, este necesar
ca măsurile de securitate cibernetică să respecte într-un mod
armonizat cerințele de proactivitate, reactivitate și integrare a
eforturilor de protecție.
---o---
Caracterul difuz al intenționalității
Ideal ar fi ca orice incident cibernetic să poată fi urmărit
îndeaproape, prin investigațiile post-incident și eforturile de inginerie
inversă, astfel încât să îi fie constatate sursa generatoare și calea de
manifestare parcursă. Însă, din păcate, nu întotdeauna este posibilă
trasarea cu precizie a acestor repere. Ba, din contră, am putea spune
că identificarea sursei generatoare a incidentelor – atunci când ele
sunt generate în mod intenționat – este un proces sortit fie eșecului,
fie impreciziei, în cele mai multe dintre cazuri. Atacatorii își ascund cu
grijă urmele și fac uz de tehnici performante de anonimizare, reușind
să își acopere cu abilitate identitatea reală sau să redirecționeze
atenția autorităților.
84 / 139
Atribuirea atacurilor cibernetice este un proces foarte dificil
care, atunci când presupune implicații juridice, dispune de
instrumente non-tehnice (de intelligence uman) pentru colectarea și
corelarea în mod corespunzător a informațiilor necesare pentru
identificarea surselor generatoare ale atacurilor. De multe ori,
atribuirea atacurilor rămâne o simplă presupunere, o deducție logică
rezultată din coroborarea unor indicatori de compromitere (informații
tehnice) cu informații obținute din activități de intelligence umane.
Totodată, incidentele cibernetice pot fi cauzate de surse lipsite
de intenționalitate, precum configurări eronate, administrarea
defectuoasă, lipsa interoperabilității tehnologice, acțiuni umane
neintenționate s.a. Securitatea cibernetică are scopul de consolida și
proteja în ansamblu tehnologia împotriva manifestării riscurilor care
pun în pericol buna ei funcționare, gestionând deopotrivă atât
reperele de securitate (amenințările), cât și de siguranță
(vulnerabilitățile).
Limitarea strictă doar la aspectele de securitate (legate de
intenționalitate/ amenințări), nu este suficientă pentru gestionarea
securității cibernetice. Dificultatea gestionării procesului de atribuire
a atacurilor ridică mari probleme în procesul managementului
incidentelor. Prin limitarea securității cibernetice strict la reperele de
securitate riscăm să creăm o situație cu dublă pierdere: nu numai că
ne găsim în situația incapacității de a gestiona juridic atribuirea
atacurilor (pentru a incrimina sursa generatoare), dar mai și neglijăm
reperele de siguranță (marcate de vulnerabilități/ lipsa
intenționalității).
Practic, limitarea securității cibernetice strict doar la reperele
de securitate este o mișcare auto-eliminatoare, care scoate din joc cu
totul securitatea cibernetică însăși, întrucât o indisponibilizează de
mijloacele de implementare. Astfel, limitarea reglementărilor strict
doar la actele ilicite intenționate produce atât în mod pasiv (prin
neglijarea reperelor privind lipsa intenționalității), cât și proactiv (prin
suprimarea jurisdicției în situația intenționalității) vulnerabilizarea
întregului ecosistem de securitate cibernetică. Este ca și cum ne-am
tăia singuri craca de sub picioare, mimând inconștiența asupra
faptului pe care-l facem.
85 / 139
Securitatea cibernetică este un domeniu compact, care
gestionează nediferențiat atât reperele de securitate, cât și cele de
siguranță. Iar conceptualizarea acestuia trebuie să țină cont
nediscriminatoriu de necesitățile practice ale acestor două domenii.
---o---
Necesități de modelare conceptuală
În procesul de adaptare a securității cibernetice la necesitățile
industriale și la evoluția tehnologică, este nevoie de o serie de
modelări conceptuale care să permită aplicarea extinsă și calibrată a
domeniului. Aceste modelări necesită documentare și studiu, eforturi
de cercetare-dezvoltare care să orienteze descoperirea conceptuală
cel puțin pe următoarele direcții:
- Necesitățile fundamentale comune de securitate cibernetică
necesar a fi aplicate în industrii și în domeniile sociale, atât în mod
nediferențiat, cât și distinct, adaptat.
- Evoluția conceptului de infrastructură critică de la nivel
organizațional la nivel industrial. Necesitățile de securitate
cibernetică specifice.
- Cerințele de balansare a rigorilor securității cibernetice cu
necesitățile și drepturile utilizatorilor (în special privind nevoia de
viață privată, cerințele de calitate ridicată a vieții), precum și cu
necesitățile de continuitate a funcționalităților de business.
- Condiții minimale pentru obținerea de performanțe predictive, în
securitatea cibernetică.
- Analiza priorităților de implementare a măsurilor de securitate
cibernetică, în raport cu nivelurile de criticitate ale obiectivelor de
protejat și cu nevoia de acoperire integrală a măsurilor de
protecție.
- Modalități de actualizare live a reglementărilor, pentru a ține pasul
cu ritmul evoluției tehnologiei și a riscurilor asociate.
- Necesități de transformare a managementului organizațional
pentru a răspunde cerințelor de agilitate ale societății
tehnologizate.
- Dezvoltarea de formate parteneriale agile care să permită un flux
rapid de cercetare-inovare cu privire la soluțiile optime de
securitate cibernetică, în raport cu evoluția tehnologică și a
riscurilor specifice.
86 / 139
---o---
Mentalități
Pentru că de la concept pleacă orice implementare corectă
sau greșită, este important ca oamenii (atât specialiștii responsabili
de securitatea cibernetică, precum și utilizatorii de tehnologie și cei
responsabili de managementul organizațional și social) să înțeleagă
tehnologia la nivel de principiu de funcționare. Este esențial să poată
vedea cu ochii minții procesele asociate tehnologiei în momentul
interacțiunii și administrării ei, sau în procesul de reglementare și
armonizare a acesteia cu alte aspecte de viață.
Prezenta lucrare se centrează pe crearea de mentalități, de
moduri de gândire care să ajute oamenii să privească tehnologia în
termeni fenomenologici. În completarea celor deja elaborate, prezintă
interes pentru modelarea conceptuală a securității cibernetice,
următoarele principii asupra cărora invităm la reflecție:
- Atunci când întâmpinăm o problemă, este esențial să identificăm
și să tratăm cauzele, ci nu efectele acesteia.
- Pentru asigurarea unei securități cibernetice este nevoie să fim
responsabili, să ducem la bună îndeplinire întregul plan de măsuri,
să închidem procesele, să consolidăm zalele slabe, să integrăm,
să coordonăm centralizat și să gândim sistemic.
- Protejarea prin extindere holistică (adică mai mult decât nișa în
care ne aflăm) este indispensabilă pentru ca măsurile
implementate local să aibă relevanță.
- Suprapunerea/ dublarea de măsuri este preferabilă lipsei de
protecție și existenței de puncte de vulnerabilitate (de zale slabe).
Climatul legislativ
Echilibrul ciclului de viață al tehnologiei
Reglementările asigură echilibru în raport cu dezvoltarea
tehnologiei, cu utilizarea și exploatarea acesteia, respectiv cu
influența resimțită în bucla de feedback generată de tehnologie
asupra omului și asupra societății (a se vedea interdependențele din
ciclul de viață al tehnologiei, din Capitolul II).
87 / 139
Lipsa reglementărilor permite dezvoltarea liberă, dar haotică a
tehnologiei, lăsând loc apariției unor impedimente precum:
- Poate conduce la lipsa interoperabilității la nivel macro (industrial)
sau la lipsa sincronizării inter-organizaționale. În situații în care
industria prezintă un nivel ridicat de interdependență, este
necesară trasarea unor direcții fundamentale de dezvoltare, a
unor ghiduri de implementare pentru reprezentanții industriali.
- Poate bloca dezvoltarea în mediul public (unde achizițiile sunt
dependente de existența cadrului legal care să permită, să
promoveze și să faciliteze în mod explicit dezvoltarea). Autoritățile
de control financiar verifică punctual corespondența dintre
modalitatea de cheltuire a banilor publici și reperele legislative. În
lipsa înțelegerii conceptuale, de partea acestora, este dificil de
explicat în ce fel se încadrează securitatea cibernetică, sau
inteligența artificială, sau oricare altă tehnologie curentă sau de
perspectivă, în terminologia cu care este definită în lege
tehnologia IT&C sau OT. Pentru că în lipsa mențiunilor exprese,
în lege, a acestor concepte cu caracter de noutate, autoritățile de
control financiar caută să facă o corespondență cu termenii deja
legiferați.
- Poate genera abuzuri în raport cu consumatorii, prin crearea unor
forme de exploatare (ex. tranzacționarea inter-organizațională a
datelor cu caracter personal) sau de punere în dependență a
acestora. Reglementările oferă consumatorilor drepturi, iar
producătorilor, obligații care să conducă la evitarea abuzurilor.
- De asemenea – prin inacțiune – poate permite producătorilor
libertatea de a supra-exploata natura, generând dezechilibre de
mediu.
Reglementările au obligația implicită (existențială, morală) de
a asigura echilibrul dintre producători, consumatori și mediu. Nu
trebuie să fie nici prea autoritare, pentru că atunci devin constrictive,
limitative, dăunătoare, dar nici pasive și inexistente, pentru că atunci
lasă loc haosului să se manifeste. Ca orice instrument democratic,
legile trebuie să seteze o fundație de principii și direcții de dezvoltare,
lăsând libertatea de manifestare creativă în acest spațiu conceptual
pus la dispoziție. Cu alte cuvinte, legile trebuie să stabilească un
context de tip antreprenorial: să faciliteze și să încurajeze dezvoltarea
88 / 139
liberă și creativă, dar într-un cadru echilibrat, sigur, sănătos, care
oferă premisele cele mai potrivite pentru evoluție.
---o---
Alinierea vitezelor
Este necesar să alocăm o atenție deosebită alinierii vitezelor
dintre dezvoltare și reglementare. Întârzierea reglementării față de
dezvoltarea tehnologiei este o problemă fenomenologică existentă –
probabil – dintotdeauna. Însă, în contextul societății actuale, în care
tehnologia evoluează de pe o zi pe alta, avem nevoie să dezvoltăm
cadre de reglementare agile care să țină pasul cu noutățile. În lipsa
acestora, dezechilibrele mai sus amintite se vor adânci, polarizând
inegal etapele din ciclul de viață al tehnologiei.
În mod special, reglementările sunt indispensabile pentru
menținerea actualizată a mediului public. Aici, instrumentele nu
evoluează pentru că nu există cadrul legislativ care să fundamenteze
investițiile și creșterea, iar reglementările întârzie să apară pentru că
lipsește dovada existenței necesității, a precedentelor sau a definirii
conceptuale a noutăților tehnologice. Este un proces auto-întreținut,
un cerc vicios care necesită decizii de dezvoltare proactivă, pentru a-
și schimba cadrul limitativ în care se învârte.
Pentru obținerea agilității în reglementare, este nevoie să
construim o fundație legislativă stabilă (care să ofere cadrul general,
reperele de orientare și direcționare a eforturilor, guvernanța, liniile
principale de activități și responsabilități) și să operăm cu instrumente
flexibile de reglementare, subsidiare, ce pot fi adaptate în ritm cu
evoluția necesităților tehnologice.
---o---
Creativitatea în reglementare
Trebuie să ne asumăm proactivitatea, să facem exerciții de
curaj și inițiativă, răspunzând concret necesităților din teren, în mod
creativ și productiv, mergând dincolo de cadrul de reglementare
minimal pe care îl stabilesc forurile legislative superioare.
Într-o societate organizată ierarhic federativ (cum este
Uniunea Europeană), membrii (statele) deprind obiceiul inerțial de a
se lăsa ghidați întocmai de reglementările comunitare, devenind
89 / 139
pasivi și renunțând la îmbogățirea legilor cu elemente de creativitate,
care să răspundă concret necesităților locale, aplicate punctual.
Reglementările superioare au menirea de a seta o fundație
comună, minimală, necesar a fi îndeplinită de state pentru a putea
permite interoperabilizarea și menținerea în sincron a societăților
constituente, însă fără a impune restricții de dezvoltare suplimentară.
Realitatea peisajului de reglementare comunitară respectă principiile
democratice amintite anterior, conform cărora la nivel local/ regional,
oamenii sunt invitați să completeze reglementările de fundație cu
repere particularizate după necesitățile pe care le întâlnesc în teren.
---o---
Armonizarea pletorei de reglementări
Dezvoltarea armonizată a reglementărilor la nivel local nu este
numai opțională, așa cum predispune principiul democratic care invită
la creativitate și libertate de manifestare. Ci este chiar imperativă,
întrucât complexitatea și multitudinea reperelor legislative și de
standardizare pot cauza mai degrabă confuzii în implementare, decât
soluții evidente.
În industriile cu un grad ridicat de interdependență și cu un
nivel înalt de reglementare, se pot crea haosuri de direcționare a
prevederilor legislative care împiedică responsabilii să le aplice în
mod armonizat.
Spre exemplu, în aviația civilă, nu numai că fiecare branșă
industrială este puternic dezvoltată ca subdomeniu de sine stătător,
dar mai și există multiple niveluri de reglementare care trasează
prevederi ce trebuie respectate în mod obligatoriu de către cei care
le pun în aplicare. Există foruri internaționale care creează standarde
obligatorii (guvernamentale – ICAO8, sau industriale – IATA9, ACI10),
foruri continentale/ federale care impun reglementări obligatorii
(guvernamentale – UE, EASA, sau industriale – EUROCONTROL) și
autorități naționale care scriu lege aplicabilă la nivelul industriei locale
(Ministere ale Transporturilor, Autoritățile de Aviație Civilă). Din start,
este dificilă armonizarea și aplicarea unitară a tuturor acestor cerințe
8 ICAO – International Civil Aviation Organization. https://www.icao.int/Pages/default.aspx 9 IATA – International Air Transport Association. https://www.iata.org/ 10 ACI – Airports Council International. https://aci.aero/
90 / 139
– care sunt specifice doar industriei (deci, aplicabile tehnologiilor
operaționale) – urmărind totodată să fie eliminate suprapunerile,
discordanțele și nesincronizările de prevederi de-a lungul întregului
șir de reglementări.
Dacă luăm în considerare și cerințele securității cibernetice,
găsim că fiecare dintre forurile de reglementare menționate mai sus
are propria viziune asupra domeniului (care diferă de la caz la caz, și
care se află într-o continuă negociere și dezvoltare conceptuală pe
toate fronturile) și ne mai confruntăm în mod suplimentar și cu
diversitatea – din perspectivă tehnico-științifică – a domeniului însuși
(așa cum menționam și în capitolele de început, securitatea
cibernetică este un domeniu care se întinde pe orizontală în multe arii
de activitate, precum: securitatea IT&C, securitatea OT, protecția
comunicațiilor, protecția datelor, protecția infrastructurilor critice,
securitatea națională, s.a.).
Cu un asemenea haos de reglementare și standardizare,
există un risc uriaș ca beneficiarii/ responsabilii de implementare să
aplice în mod ineficient și neconform toate cerințele care se impun. În
astfel de situații, este imperativă dezvoltarea unor cadre de
reglementare integrate, trans-disciplinare, uniforme, la nivel național,
care să armonizeze toate prevederile existente la toate nivelurile,
oferind organizațiilor o imagine concludentă, simplificată, coerentă,
eficientă și neredundantă a drumului de parcurs pentru asigurarea
securității cibernetice. Iar pentru aceasta, avem nevoie să apelăm la
creativitate și să dezvoltăm legi autentice, care să răspundă ferm
necesităților de dezvoltare din teren.
În securitatea cibernetică, transpunerea mot-a-mot, fără
adaptare, a cerințelor tuturor reglementărilor superioare conduce
inevitabil la confuzii, suprapuneri, inadvertențe și incompatibilități.
---o---
Echilibrul de conținut
Dacă ne referim la calitatea conținutului reglementărilor, găsim
că avem nevoie să imprimăm un echilibru al cerințelor, care să
permită implementarea eficientă a securității cibernetice, în funcție de
fiecare caz organizațional. Supra-reglementarea poate conduce la
măsuri supra-solicitante, creând atât riscul scăderii eficienței
securității cibernetice aplicate, cât și la posibilitatea obținerii unui
91 / 139
raport supraunitar între investițiile de securitate cibernetică și riscurile
acoperite. De asemenea, supra-reglementarea poate conduce la o
supra-dimensionare a măsurilor de control legal (la supra-
conformitate), care se traduc în amenzi care excedează necesitățile
practice, devenind o povară suplimentară pentru managementul
financiar organizațional.
Ca atare, avem nevoie să urmărim un echilibru între
reglementările de securitate cibernetică, respectiv capacitățile și
necesitățile punctuale ale organizațiilor, pentru a încadra și trata în
mod corespunzător riscurile de securitate cibernetică.
Pe de altă parte, în egală măsură, lipsa reglementărilor lasă
vulnerabilitățile expuse, permițând incidentelor să se manifeste și să
creeze pagube.
Probabil unul dintre cei mai importanți termeni pe care trebuie
să îi avem în vedere atunci când vorbim despre securitatea
cibernetică este echilibrul. Avem nevoie de echilibru în dezvoltarea
conceptuală, în formularea cerințelor legislative și în implementarea
locală.
---o---
Armonizare între reglementări și strategiile de dezvoltare
Echilibrul survine, în primul rând, din trasarea
corespunzătoare a viziunii și a direcțiilor de implementare. După cum
aminteam și în capitolul Implicații conceptuale, înțelegerea teoretică
dictează implementarea practică și condiționează gradul de
corectitudine tehnică a acesteia.
Înainte de toate, avem nevoie de un concept clar și elocvent.
Acesta este transpus în strategii de dezvoltare, însoțite de planuri de
acțiune pentru implementare. Conceptul și strategiile trebuie să fie pe
deplin reprezentate prin reglementări care, la rândul lor, urmăresc
îndeaproape implementarea practică, la nivelul fiecărei organizații.
Orice inadvertențe și desincronizări pe acest traseu conduce
la confuzii și dezechilibre de implementare dificil de controlat și
corectat ulterior. Conceptualizarea, strategiile, reglementarea și
implementarea formează un proces care evoluează în baza
principiului bulgărelui de zăpadă: lansat din vârful muntelui, poate
ajunge în părți complet diferite ale lumii, în funcție de latura muntelui
92 / 139
pe care alunecă inițial. Similar, securitatea cibernetică aplicată este
rezultatul propagat al deciziilor de construcție conceptuală și de
reglementare.
---o---
Facilitarea colaborărilor
Reglementările trebuie să faciliteze și să detalieze condițiile de
desfășurare a colaborărilor inter-instituționale, atât pentru
demarcarea sincronizării multi-domeniu (pe orizontală) și a
coordonării activităților de prevenție și răspuns la incidente, cât și
pentru asigurarea închiderii lanțului de gestionare a acțiunilor ilicite
intenționate.
Atribuirea atacurilor și incriminarea responsabililor de acțiunile
ilicite intenționate se realizează cu ajutorul autorităților specializate în
acest sens, făcând uz de mecanisme de intelligence, punere sub
acuzare, investigare și judecată.
---o---
Echilibru în coordonare
La nivel de implementare, securitatea cibernetică trebuie să
beneficieze de neutralitate și neconcurențialitate. Schimbul de
informații tehnice este dorit și necesar, în detrimentul restricțiilor de
competitivitate, întrucât sprijinul reciproc asigură supraviețuirea de
grup. Organizațiile din același sector de business înțeleg că este mai
important să își asigure ajutor mutual în combaterea riscurilor de
securitate cibernetică, decât să se izoleze, de teama de a nu pierde,
din perspectivă concurențială. Pentru că, prin izolare, gradul de
expunere individuală în fața amenințărilor cibernetice crește
considerabil comparativ cu situația protejării coordonate la nivel de
grup.
Însă coordonarea trebuie să fie realizată prin colaborare pe
orizontală și monitorizare de ansamblu neutră. Cunoașterea
situațională sincronizată/ de ansamblu, de la nivelul mai multor
entități aflate pe un același nivel ierarhic, oferă un plus de informații
care poate genera ascendent asupra entităților monitorizate. De
aceea, entitatea aflată în vârful piramidei trebuie să aibă un rol neutru
în raport cu organizațiile asupra cărora are vizibilitate din perspectiva
securității cibernetice.
93 / 139
Se creează, astfel, un sistem de sisteme, ierarhic, în care
entități de tip CERT monitorizează în mod centralizat evenimentele și
incidentele de securitate cibernetică ce se desfășoară la nivelul
sectoarelor sau subsectoarelor industriale aflate în coordonare.
Astfel, un CERT de nivel european supervizează activitatea CERT-
urilor de nivel național, care la rândul lor supervizează CERT-urile
industriale, care coordonează CERT-urile sub-sectoriale, care
monitorizează integrat organizațiile sau CERT-urile organizaționale.
Am menționat în capitolele anterioare despre necesitatea
asumării responsabilității individuale, coroborată cu necesitatea
integrării/ sincronizării/ coordonării eforturilor. Însă integrarea
eforturilor nu presupune și integrarea responsabilității, și pasarea
acesteia de la nivel individual la nivel central, superior ierarhic. Pe de
o parte pentru că nodul central ar deveni suprasolicitat în situația unor
incidente corelate, simultane, iar pe de altă parte pentru că ar putea
intra într-o situație de conflict de interese.
Nodurile centrale de ordin superior au un ascendent asupra
organizațiilor monitorizate, motiv pentru care este potrivit să fie înseși
autoritățile competente din domeniile industriale respective.
Poziționarea în vârfurile piramidelor, a unor CERT-uri din cadrul
autorităților competente răspunde în mod nativ necesității de
monitorizare a conformității și de cunoaștere situațională a acestora,
ca parte a misiunii lor de bază. Iar ascendentul pe care îl poartă față
de organizațiile aflate în monitorizare, este unul natural, oferit de
legile de funcționare proprii.
Ca atare, înțelegem că sistemele de sisteme de tip CERT
asigură monitorizarea integrată a incidentelor de securitate
cibernetică și cunoașterea situațională, oferind pârghii pentru
coordonarea și sincronizarea răspunsului la incidente, care este
asumat la nivel organizațional.
În final, entitățile de tip CERT trebuie să se sincronizeze
reciproc spre a acoperi diversitatea necesităților multi-domeniu (în
branșele industriei, în securitatea cibernetică, în protecția
infrastructurilor critice, în protecția datelor, s.a.).
---o---
94 / 139
Lipsa capacității predictive și a deciziei preventive
Din păcate, oamenii nu prea au capacitatea de a lua decizii
colective preventive. Acest lucru s-a demonstrat cu fiecare eveniment
colectiv întâmpinat, și reiterat apoi identic sau sub o formă similară.
Principala cauză a acestui inconvenient constă în lipsa capacității
indivizilor de a se asocia identitar (inconștient) cu colectivul pe care îl
reprezintă atunci când îndeplinesc anumite responsabilități colective,
precum și din pricina complexității condiționalităților procesuale.
Pentru asigurarea prevenției, este nevoie de realizarea unor
rezerve și de pregătirea proactivă – toate acestea, cu asumarea
posibilității ca evenimentul pentru care sunt pregătite să nu se
manifeste. Dacă se manifestă și acțiunile preventive sunt eficiente,
atunci lipsește impactul care să modeleze percepția celor protejați;
acestora din urmă le va veni dificil să înțeleagă că evenimentul nu a
provocat daune, tocmai mulțumită măsurilor preventive luate și, ca
atare, scade apetitul și justificarea continuării investiției în prevenție.
Dacă, în schimb, evenimentul nedorit nu se manifestă, atunci
măsurile preventive sunt considerate inutile și risipitorii, cel care și-a
asumat responsabilitatea asupra lor fiind adesea tras la răspundere
pentru managementul ineficient al resurselor.
În plus, de-a lungul întregului fir al acestei cauzalități se pierd
informații privind istoricul evenimentelor, iar o eventuală lipsă a
jurnalizării lor ori a comunicării corespunzătoare conduce la pierderea
percepției corecte asupra situației generale, cauzând lipsa înțelegerii
fenomenului, în ansamblu. Astfel, șansa ca omul să învețe de pe
urma experiențelor colective (în general, nu doar de pe urma celor cu
intenționalitate preventivă) scade covârșitor. (Învățarea eficientă se
realizează cel mai bine prin experiența proprie. Evenimentele
colective nu pot oferi experiență proprie deplină, tuturor indivizilor, ci
în cel mai bun caz, o istorisire – care devine subiectivă de-a lungul
lanțului de comunicare – asupra desfășurării întâmplărilor.)
Această dificultate de a lua decizii colective preventive
conduce la slăbirea măsurilor de prevenție și, implicit, la
materializarea de evenimente nedorite. Astfel, omul a dezvoltat
capacitatea de reacție la evenimente, în sensul gestionării
95 / 139
manifestării lor spontane și al îmbunătățirii ulterioare a capacității de
preîntâmpinare, spre a evita reiterarea evenimentelor nedorite.
Mai toate domeniile tehnice/ științifice/ industriale/ sociale care
sunt evoluate în prezent, au ajuns în acest stadiu de maturizare
mulțumită lecțiilor învățate și aplicate post-eveniment. Este nevoie de
parcurgerea cel puțin a unui ciclu de experiență pentru perceperea
concretă a desfășurării evenimentelor, pentru documentarea lor și
înțelegerea fenomenologică, precum și pentru corecția erorilor,
pentru consolidarea stării de bună funcționare și pentru ranforsarea
condițiilor de siguranță și securitate.
Ținând cont de aceste impedimente, totuși, susținem că
securitatea cibernetică are nevoie de predictibilitate, pentru a putea fi
eficientă și promptă în prevenția și răspunsul la incidentele
cibernetice. Acesta este un deziderat care poate fi atins după
dobândirea unei experiențe de lucru substanțiale, și a unui grad
ridicat de funcționare armonizată și sincronizată a echipei
responsabile de securitatea cibernetică.
---o---
Adaptări legislative colaterale
O dată cu construirea reperelor tehnico-științifice și legale de
securitate cibernetică, este necesară dezvoltarea contextului de
reglementare colateral/ complementar, care vizează implicațiile
sociale ale domeniului, precum: adaptarea sistemului juridic la
necesitățile de securitate cibernetică, adaptarea sistemului de control
financiar, adaptarea sistemului de organizare a muncii (ex.
dezvoltarea de calificări, profesii și specializări oficiale de securitate
cibernetică în Codul Ocupațiilor), adaptarea sistemului educațional
pentru a pregăti specialiști în domeniu și a asigura asimilarea
tehnologiilor emergente, dezvoltarea carierelor profesionale s.a.
Climatul factual
Paradoxul criticitate vs. redundanță
După cum aminteam și în capitolele anterioare, în practică nu
întotdeauna sunt transpuse conceptele și mentalitățile teoretice,
indiferent cât sunt ele de bine puse pe hârtie. Palierul decizional va
96 / 139
găsi, adesea, că este oportun să facă ajustări asupra acestora, pentru
a imprima o anumită viziune managerială sau pentru a realiza anumiți
indicatori de performanță (de regulă, financiari). Percepția asupra
conceptelor teoretice suferă, astfel, modificări, modelări, adaptări
care – dacă sunt încununate de succes – sunt preluate și propagate
ca bune practici la nivel de industrie, și respectate cu sfințenie.
Una dintre devierile conceptuale este reprezentată de
percepția asupra criticității sistemelor. Teoretic, sistemele care sunt
definite ca fiind critice pentru funcționarea serviciilor, sunt marcate ca
atare pentru a beneficia de măsuri suplimentare de protecție și
asigurare a continuității funcționalității. Uneori sunt dublate funcțional
de sisteme de redundanță care au menirea de a prelua sarcina de
lucru în situația nedorită în care sistemul principal nu își mai poate
îndeplini misiunea.
Tot din punct de vedere teoretic, faptul că sistemele critice sunt
dublate cu măsuri de contingență, de rezervă, nu le modifică statutul
de ”sistem critic”. Este o chestiune logică: dacă și-ar pierde caracterul
critic în urma atribuirii unei soluții de redundanță, atunci soluția de
redundanță și-ar pierde scopul existențial (ea a fost instituită ca atare
– să asigure redundanța – tocmai pentru că trebuie să dubleze
funcționalitatea sistemului critic protejat, fiind gata oricând să îi preia
din sarcina de lucru, în caz de nevoie).
După cum putem observa, marcarea unui sistem ca fiind critic
conduce adesea la necesitatea implementării de măsuri suplimentare
de protecție. De cele mai multe ori, aceste eforturi conduc la
necesități financiare suplimentare, pe care managementul este
obligat să le suporte.
Așadar, găsim că – în practică – managementul apelează la
anumite tertipuri pentru a evita denumirea sistemelor ca fiind critice.
Consideră că dacă sistemele importante/ vitale au implementate
soluții de back-up/ redundanță, atunci continuitatea funcționalității
serviciilor este asigurată în cazul nefuncționării sistemelor de bază,
fiind preluată de sistemele de rezervă. Sistemele de bază nemaifiind
(aparent) ”indispensabile”, acestea nu mai sunt etichetate ca fiind
critice, conducând la evitarea luării măsurilor obligatorii care se impun
asupra sistemelor critice, de regulă.
97 / 139
Înțelegem, astfel, că printr-un tertip managerial, sistemele
critice sunt scutite – în practică – de la obligativitatea instalării
măsurilor de contingență și redundanță, pentru simplul fapt că nu mai
sunt etichetate corespunzător. Această practică profund greșită
creează mari vulnerabilități sistemice, împiedicând desfășurarea
corectă a evaluărilor de risc care conduc, implicit, la evitarea
măsurilor de protecție corespunzătoare. Se creează un cerc vicios al
deciziilor, care conduce la slăbirea în ansamblu a măsurilor de
protecție a rețelelor tehnologice.
Prin urmare, este de reținut că este deosebit de importantă
identificarea corespunzătoare a sistemelor critice și menținerea
acestei etichete fără libertate de interpretare laterală, indiferent câte
măsuri de protecție sunt luate în jurul acestora. Eforturile
suplimentare sunt aplicate în mod expres datorită gradului ridicat de
criticitate pe care îl comportă sistemele respective, permițând o
aplicare corectă a măsurilor de apărare în adâncime.
Într-un mediu tehnologic interdependent, erorile de securitate
se propagă și escaladează ca un domino, vulnerabilizând întregul
ecosistem. În general, gradul de vulnerabilitate/ expunere al rețelei
de sisteme scade sau crește în mod înlănțuit (chain reaction), în
funcție de cum alegem să protejăm fiecare sistem individual, prin
raportare la nivelul său de criticitate. Este recomandat să dezvoltăm
rațiuni teoretice corecte și să le aplicăm ca atare, luând deciziile
bugetare corespunzătoare și evitând orice alte repere (precum
ignoranța, rutina, superficialitatea, parțialitatea, lipsa asumării
responsabilității, s.a.) care ne pot distrage de la deciziile corecte.
Evaluarea riscurilor ar trebui să releve seturi de matrice ale
riscurilor, construite în raport cu necesitățile de importanță (criticitate)
și de urgență a aplicării măsurilor de securitate cibernetică, pentru a
permite protejarea holistică în mod etapizat, natural, echilibrat, ajustat
la potențialul financiar disponibil.
---o---
Ignoranța și/sau reaua credință
Avem nevoie să aplicăm un management consistent al
ignoranței oamenilor, pentru a-i ajuta să părăsească zona de confort
și complăcere. Riscurile de securitate cibernetică sunt perfide, prin
invizibilitatea lor caracteristică. Este dificil să convingi omul
98 / 139
necredincios de existența acestora, în lipsa dovezilor concrete (pe
care le obții doar cu ajutorul instrumentelor tehnologice
corespunzătoare, implementate în rețea și puse în funcțiune spre a
extrage date situaționale pe baza cărora să fie livrată o analiză a
vulnerabilităților existente).
Omul ignorant și/sau rău-credincios va face tot efortul să nu
vadă și să nu înțeleagă explicațiile pe care i le oferi, eșuând în a se
poziționa corect față de perfidia riscurilor de securitate cibernetică.
Ca angajat și utilizator al tehnologiei, va îngreuna sau va risipi
eforturile de securitate cibernetică luate la nivel organizațional. Ca
manager sau decident, provoacă și mai multe pagube, prin lipsa de
acțiune sau împotrivirea luării măsurilor care se impun.
Ignoranța este mai rea decât necunoașterea sau inconștiența,
pentru că zădărnicește în mod deliberat eforturile comune de
securitate cibernetică.
---o---
Potrivnicia egoului
Frate cu ignoranța este orgoliul profesional, pe care îl putem
regăsi, de regulă, la specialiștii care muncesc de o viață în branșa lor
tehnologică/ industrială. Atunci când încerci să implementezi
securitatea cibernetică într-un domeniu industrial, te lovești din plin
de atotcunoașterea unor specialiști nișați în tehnologiile operaționale,
care resping cu vehemență asimilarea ”noului” domeniu al securității
cibernetice.
Rezistența la schimbare și rigiditatea profesională pot supune
securitatea cibernetică unor riscuri de denaturare conceptuală și
aplicare necorespunzătoare. Potrivnicia egoului profesional poate
reprezenta o serioasă barieră în preluarea și impunerea măsurilor de
securitate cibernetică, intrând într-un registru de bariere proactive
(dar nu neapărat intenționate) umane.
---o---
Gestionarea insiderilor
Mai rea decât interesele colaterale, decât reaua credință și
decât potrivnicia egoului este reaua voință, întrucât presupune un
caracter de intenționalitate și bună știință a faptelor. Este posibil ca
cel mai periculos factor de risc în privința securității cibernetice să fie
99 / 139
marcat de amenințarea din interior/ de insider/ de angajatul rău
intenționat.
Cu cât insiderul se află într-o poziție de acces mai privilegiat la
resursele tehnologice, cu atât este mai periculos, putând provoca
distrugeri semnificative asupra bunurilor fizice și informaționale. Este
imperativ necesar ca palierul decizional să ofere o atenție deosebită
interacțiunilor inter-umane, stilului de management și nivelului de
mulțumire și de motivare a angajaților și, în egală măsură, să aibă
pregătite proceduri și măsuri prompte de reacție, care să asigure
protecția fermă a resurselor organizaționale, în situații de conflicte și
neînțelegeri inter-umane.
---o---
Lipsa conștientizării și/sau a cunoașterii
Într-un registru pozitiv și mai gestionabil, găsim lipsa
conștientizării și/sau a cunoașterii, care presupune riscul
materializării de erori, greșeli sau accidente. Spre deosebire de
ignoranță, lipsa conștientizării și/sau a cunoașterii este corectabilă
prin procese de creștere a nivelului culturii de securitate cibernetică
și prin procese de suprafață sau de amploare de educație, instruire și
exersare.
Conștientizarea utilizatorilor generali și, în mod special, a
palierelor decizional și de management, precum și specializarea
corespunzătoare a responsabililor cu administrarea IT&C și OT, și a
responsabililor de securitatea cibernetică, aduce un mare plus în
consolidarea nivelului de protecție tehnologică a organizației, în
ansamblu.
Suplimentar, este necesară implementarea unui proces de
management al incertitudinii și al schimbării, care să pregătească și
să mențină organizația în stare de disponibilitate și deschidere, spre
asimilarea noutăților tehnologice și sociale cu care se confruntă.
---o---
Gestionarea bias-urilor de percepție
Ca în orice profesie care este practicată pe termen lung, pot
apărea bias-uri de percepție atât la nivelul specialiștilor, cât și a
managerilor și a beneficiarilor măsurilor de protecție.
100 / 139
Așa cum am menționat în capitolele anterioare, o performanță
preventivă ridicată poate denatura percepția asupra existenței
riscurilor, conducând la diminuarea angajării de resurse din partea
decizionalilor și a beneficiarilor.
O altă problemă poate fi reprezentată de creșterea pragului de
sensibilitate la efectele incidentelor de securitate cibernetică, în urma
profesării și confruntării îndelungate cu această problematică. În
urma gestionării unui număr ridicat de incidente, pe termen lung,
percepția asupra acestora poate suferi o saturație (ca în orice
profesie, de altfel), riscând să genereze o formă de atitudine și
comportament rutinate/ blazate.
De asemenea, banalizarea percepției asupra incidentelor are
impact și asupra beneficiarilor care riscă să subestimeze importanța
efectelor. Evoluția de percepție la nivelul consumatorilor, cu privire la
creșterea și naturalizarea raportărilor publice a incidentelor de
securitate cibernetică din diferite industrii de consum – sistemul
bancar, serviciile online, s.a. – a condus la o aplatizare a capacității
de resimțire a pericolului/ riscurilor/ implicațiilor reale. S-a ajuns la o
plafonare a percepției gravității faptelor, care face ca numeroasele
furturi și tranzacționări de date personale, pe piața neagră/ în dark
web, de exemplu, să pară o normalitate, o banalitate.
Este necesară derularea de studii și cercetări aplicate (în
mediul academic și de cercetare), cu privire la bias-urile de percepție
și la necesitățile de gestionare a acestora, pentru identificarea de
soluții care să asigure menținerea în parametri optimi a măsurilor de
securitate cibernetică.
De asemenea, este importantă cuantificarea nivelului de
importanță pe care îl comportă efectele incidentelor cibernetice,
suplimentar față de aspectele de conștientizare. Unele efecte pot fi
acceptate (ca riscuri acceptate și materializate), altele trebuie
percepute, înțelese și tratate în acord cu implicațiile reale, practice pe
care le comportă – pentru a putea fi asumate.
Pe termen lung, este de așteptat ca unele tipuri de incidente
cibernetice să fie percepute ca evenimente naturale ale vieții, oamenii
dezvoltând o formă de imunitate/ toleranță vizavi de manifestarea
acestora.
---o---
101 / 139
Implementarea în pași mici
Pe de altă parte, folosind în mod constructiv psihologia
adaptării în pași mici și perseverenți, înțelegem că implementarea
unui domeniu nou și de mare amploare – cum este securitatea
cibernetică sau tehnologiile emergente – este mult mai facilă dacă
dispunem de răbdare și de tact.
În general, omul are reacții de respingere atunci când se
confruntă cu elemente de noutate. Rezistența la schimbare este
naturală. Însă, livrată în porții mici și în mod consecvent, schimbarea
se produce în mod firesc, și este asimilată și interiorizată cu ușurință.
De aceea, cea mai bună cale de implementare a securității
cibernetice constă în creșterea naturală; testată, experimentată și
asumată.
---o---
Implementare adaptată
Securitatea cibernetică este dependentă de percepție. Cu cât
știi mai mult din realitatea cu care te confrunți în spațiul cibernetic-
fizic pe care îl gestionezi, cu atât devii mai deschis spre analiza și
gestionarea riscurilor pe care le poți întâmpina. În general, cu cât
gradul de conștientizare și cunoaștere este mai ridicat, cu atât crește
și capacitatea de predictibilitate și acțiune preventivă.
Spre deosebire de spațiul fizic, unde reperele de siguranță și
de securitate evoluează într-un spectru de liniaritate, în spațiul-
cibernetic fizic riscurile de securitate cibernetică pot prezenta
manifestări neliniare, scalabile, multiplicabile, escaladabile. Drept
urmare, mentalitatea cu care gestionăm riscurile cibernetice diferă –
din perspectiva agilității și a prioritizării – de cea cu care abordăm
riscurile asociate mediului fizic.
Avem nevoie de mai multă organizare teoretică, în setarea
priorităților și a nivelului de importanță pe care îl alocăm obiectivelor
de protejat. O definire corespunzătoare a matricelor de riscuri în
funcție raporturile impact-probabilitate și importanță-urgență ne
asigură o creștere substanțială a eficienței întregului proces de
management al riscurilor; ne oferă oportunitatea de a gestiona
corespunzător resursele de care dispunem, spre atingerea unor
rezultate optime.
102 / 139
---o---
Importanța deciziilor prompte
Protecția împotriva incidentelor de securitate cibernetică este
dependentă de gradul de promptitudine al capacității noastre de
contracarare și răspuns. Statistici anuale, realizate la nivel mondial
(un exemplu elocvent este reprezentat de statisticile11 oferite de
SANS Institute), avertizează că de regulă trec zile, săptămâni sau luni
de la momentul infectării cu malware a sistemelor tehnologice și până
la eradicarea infecției.
În astfel de condiții, eforturile de securitate cibernetică au mai
mult un rol de constatare și analiză post-eveniment, decât de
prevenție și contracarare. Deși este un deziderat greu de realizat
(fiind dependent de o înaltă competență și sincronizare a echipelor
de specialiști), promptitudinea reacției la incidentele cibernetice este
cea care poate asigura managementul corespunzător al riscurilor și
limitarea producerii de pagube.
---o---
Management agil
Procesele organizaționale inerțiale și fluxurile birocratice
îngreunează eforturile de securitate cibernetică. Pentru a crește
eficiența măsurilor implementate, este nevoie ca managementul
organizațional să adopte un stil de lucru agil, adaptat necesităților și
vitezei de desfășurare a activităților din mediul cibernetic-fizic.
Totodată, palierul decizional trebuie să facă un efort de
conștientizare, pentru a înțelege importanța investirii de resurse în
scopul asigurării securității cibernetice, pentru a facilita
implementarea mecanismelor de protecție corespunzătoare și pentru
a permite libertate de manifestare responsabililor însărcinați cu
managementul incidentelor cibernetice.
În literatura de specialitate referitoare la dezvoltarea
tehnologică există exemple de formate de lucru agile care descriu
adaptarea managementului organizațional la nevoile de dinamică ale
echipelor de specialiști tehnici. Aceste formate de management agil
11 SANS 2019 Incident Response (IR) Survey: It's Time for a Change. July 2019. https://www.sans.org/reading-room/whitepapers/incident/paper/39070
103 / 139
sunt valide, în egală măsură, și pentru a răspunde necesităților de
flexibilitate și mobilitate a domeniului securității cibernetice.
---o---
Necesitatea alocării de fonduri
O dată cu evoluția tehnologiei și a necesităților ei colaterale,
societatea se schimbă în mod natural, parcurgând un proces de
adaptare și asimilare a noutăților. Câmpul muncii se modelează
pentru a răspunde nevoilor de orientare a eforturilor, iar ordinea de
importanță a job-urilor este reformată.
Specializările de securitate cibernetică se află în topul ierarhiei
de job-uri, fiind ofertate în număr mare și remunerate în mod
consistent. Această realitate poate fi potrivnică organizațiilor care nu
pot sau nu sunt dispuse să aloce fonduri suficiente pentru asigurarea
resurselor umane specializate, întrucât pierd din start în fața
concurenței.
În viitor, asigurarea serviciilor tehnologice (IT&C și OT) și a
serviciilor de securitate cibernetică va fi o necesitate imperativă,
fundamentală. În plus față de achiziția, motivația și retenția de
personal specializat, organizațiile trebuie să aloce fonduri și pentru
investiții în echipamente și în servicii de administrare, mentenanță și
suport al acestora.
Fie că sunt dezvoltate in-house sau externalizate,
administrarea tehnologică și asigurarea securității cibernetice solicită
eforturi financiare proporționale cu necesitățile specificului obiectului
muncii (a misiunii organizaționale) și a rezultatelor evaluărilor de risc.
În lipsa alocării de fonduri, nivelul de performanță funcțională scade,
iar expunerea la riscuri (tehnologice) crește, deschizând calea spre
stagnare sau pierdere a business-ului.
---o---
Anticiparea necesităților de adaptare
Securitatea cibernetică este un domeniu aflat în continuă
dezvoltare, evoluând o dată cu noutățile tehnologice și mutațiile
riscurilor specifice. Este important să înțelegem că asigurarea
securității cibernetice nu este un efort punctual, pe care îl depunem o
dată și ne servește pe termen nedefinit, ci – din contră – este un efort
continuu, susținut, care necesită adaptare și creștere permanentă.
104 / 139
Organizațiile trebuie să manifeste deschidere, să
conștientizeze și să înțeleagă fenomenul evoluției tehnologice și al
nevoilor de securitate cibernetică, și să aloce mereu resursele
cuvenite, pentru a-și asigura compatibilitatea și calibrarea cu
tendințele societale, și trăinicia în condiții de performanță.
105 / 139
SECURITATEA CIBERNETICĂ COMPLEMENTARĂ
Dincolo de aspectele de securitate cibernetică aplicată (care
tratează în mod direct gestionarea riscurilor de exploatare
necorespunzătoare a tehnologiei, ce pot produce pagube în spațiul
cibernetic-fizic-uman), există o serie extinsă de implicații pe care
tehnologia le aduce la nivel uman și social, precum și în mediul
natural. Tehnologia ne modelează și ne schimbă viețile într-un mod
mai mult sau mai puțin evident, generând efecte pe termen lung care
merită luate în considerare, analizate și gestionate.
Tehnologia este un produs uman. Este o creație a noastră,
dezvoltată în mod conștient și voluntar, după chipul și asemănarea
noastră, a ceea ce suntem și a ceea ce percepem (și înțelegem) din
mediul în care ne desfășurăm viața. Oricare ar fi scopurile pentru care
o creăm, cu siguranță intenția noastră general valabilă este să
dispunem de pe urma avantajelor pe care ni le oferă, să beneficiem
de plus valoarea pe care ne-o aduce în urma externalizării
capabilităților noastre native.
Pentru că, în esență, tehnologia este o externalizare a
abilităților și a gândirii noastre, o extensie a firii noastre existențiale,
care se manifestă în mod scalabil/ multiplicat în exteriorul nostru, în
mediul înconjurător. Este o oglindă augmentată a înfățișării noastre,
care – într-o măsură mai mică sau mai mare – se manifestă
independent de influența noastră, autonom. În funcție de gradul de
evoluție și performanță pe care îl primește prin procesul de design și
producție, tehnologia are un spectru larg de modalități de
manifestare: de la liniar/ intuitiv/ pre-programat/ controlat la dinamic/
evolutiv/ autonom/ liber.
Revoluția industrială pe care o traversăm la nivelul anilor 2020
și perspectivele de evoluție tehnologică pe termen lung ne conduc la
ideea că tehnologia va căpăta un grad de autonomie din ce în ce mai
ridicat, o dată cu trecerea timpului. Și este natural să se întâmple ca
atare; pentru că ne place și ne dorim să putem automatiza mediul
care ne înconjoară, și să interacționăm cu el firesc, uman, așa cum
ne poartă gândul. Și vom ajunge, mai devreme sau mai târziu, la un
106 / 139
nivel de dezvoltare tehnologică atât de ridicat, încât vom avea
senzația că tot spațiul înconjurător va fi dobândit sensibilitate/
receptivitate la prezența și inputurile noastre, ca și cum ar fi prins
viață.
Ce este, însă, vital, în tot acest peisaj tehnologic spre care
tindem, este să ne asigurăm că ceea ce construim este sănătos, că
nu pune în pericol siguranța și securitatea umane, sociale și ale
mediului natural, și că ne oferă cele mai bune perspective de evoluție
umană și condiții de calitate a vieții. Și, mai presus de orice, avem
nevoie să fim atenți ca locul controlului, în tot procesul de dezvoltare
tehnologică, să rămână în continuare la oameni; momentul în care
pierdem controlul asupra evoluției propriilor produse reprezintă un
punct de cotitură care ne va împinge să ne recalibrăm modul de
abordare a vieții, oferind o atenție deosebită necesităților
fundamentale de securitate și supraviețuire.
Poate suna a SF ideea ca tehnologia să preia controlul asupra
propriului proces evolutiv sau poate părea apocaliptic să ne referim
la nevoia de gestionare a condițiilor de supraviețuire umană. Dacă
credem că aceste lucruri sunt SF, atunci înseamnă că avem o
problemă de percepție, datorată lipsei conștientizării sau lipsei
exercițiului de analiză de substrat.
Tehnologia deja dispune de mostre de autonomie funcțională
și evolutivă, obținute în multitudinea de experimente desfășurate în
pletora de noduri de cercetare-dezvoltare-inovare, existente la nivel
mondial (a se vedea, spre exemplu, cazurile de inteligență artificială
capabile de auto-evoluție12, al căror traseu și dinamică de creștere nu
sunt gestionate de om; sau cazurile de bio-inginerie pe bază de ADN
artificial13, în care sunt dezvoltate organisme autonome și cu
capacități de reproducere).
În prezent, omenirea dispune deja de un grad foarte ridicat de
evoluție tehnologică, dar de care nu suntem conștienți, la nivelul
populației generale. Și nu este de blamat faptul că nu știm; avem o
sumedenie de motive care ne opresc să asimilăm o astfel de
cunoaștere... de la rutina vieții sociale cotidiene, la bias-uri de
12 https://www.sciencemag.org/news/2020/04/artificial-intelligence-evolving-all-itself 13 https://www.nature.com/articles/d41586-019-00650-8
107 / 139
informare ale media, și până la lipsa adaptării umane la necesitățile
de procesare (la nivel psihic) a Big Data cu care interacționăm zi de
zi.
Tehnologia a evoluat mai repede decât am avut noi
capacitatea să asimilăm noutățile, inducându-ne – în mod automat –
într-un periplu de macro adaptare, la nivel de specie. Iar procesul
adaptării la noutăți (în încercarea de a ține pasul cu dinamica de
creștere tehnologică) nu este simplu sau ușor: generează întregi
revoluții psihice, reforme și reorganizări sociale, schimbări de
interacțiune a omului cu propriile produse și cu mediul natural.
Schimbările sunt deja aici, prezente. Ne rămâne doar să
deschidem ochii, să le privim și să le asimilăm în viețile noastre. Și
suntem obligați să facem asta și – mai mult – să încercăm să facem
și niște pași suplimentari, pentru a ne păstra poziția de ascendent față
de tehnologie. Trebuie să recuperăm niște decalaje pe care deja le
avem în dezavantajul nostru, să ne reinventăm, să depășim lucrurile
mici și egoiste (individuale) care ne țin pe loc, și să descoperim
conștiința colectivă care ne permite să avem grijă unii de alții, să
oferim plus valoare societății și vieții și să organizăm în condiții de
echilibru mediul care ne susține viața.
Dacă nu facem pașii necesari pentru dobândirea și/sau
păstrarea controlului asupra vieților noastre, întregul ecosistem riscă
să eșueze. Am depășit vremurile în care un număr mic de oameni
putea controla masele; pentru că, în condițiile populației numeroase
actuale, care dispune de acces liber la informații, balanța puterii se
înclină din ce în ce mai mult în favoarea maselor. Principiile
democratice devin realitate în mod firesc, normal, natural, automat.
Puterea de acțiune și de influență revine maselor, iar contribuția
individuală se face resimțită mai ușor, propagându-se în mod
involuntar în valurile informaționale sociale. Este doar o chestiune de
timp până când omenirea va înțelege noile realități, care îi oferă
predispoziția și capacitatea de organizare ad-hoc.
Și, deși sună îmbucurător că oamenii încep să își recapete
libertatea de manifestare și expresie, ar trebui să ne îngrijorăm cu
privire la riscurile pe care această ”revoluție” a conștiinței le comportă,
în lipsa deținerii unei capacități corespunzătoare de gestionare a
cunoașterii/ înțelepciunii/ informației de care beneficiem. Adică,
108 / 139
simplul fapt că înțelegem că avem deplină libertate de manifestare nu
ar trebui să ne dea fiori de bucurie, înainte de a ne asigura că și știm
cum să o gestionăm. (Avem exemplele statelor care, ieșite din
opresiunea comunistă, au eșuat cu libertatea în brațe, mai degrabă
decât să își fi fructificat în mod productiv noile avantaje sociale –
democratice – pe care le-au dobândit.)
Lipsa capacității de gestionare a informației/ a inteligenței este
o problemă mai mare decât lipsa libertății de manifestare și expresie.
Este o problemă care poate ridica riscuri serioase la adresa securității
noastre existențiale. Pentru că, o dată ce masele dobândesc
libertatea de manifestare – dar în lipsa conștiinței eco-sistemice, în
lipsa capacității de valorificare energetică corespunzătoare și a
canalizării inteligente a resurselor și eforturilor – atunci este
multiplicat la nivel de numere mari atât potențialul de construcție, cât
și cel distructiv. Și ultimul lucru pe care ne-am dori să îl vedem ar fi
cum masele folosesc în mod necorespunzător tehnologia, aducând
distrugeri ireversibile omenirii și mediului natural.
Inteligența este calea naturală a evoluției. Totodată, inteligența
– nevalorificată corespunzător – poate fi și principalul impediment în
calea evoluției.
---o---
Pentru a dobândi capacitatea de valorificare productivă a
inteligenței noastre, avem nevoie de cunoaștere. Iar cunoașterea vine
din experiență, din viața trăită. Este drept, cunoașterea provenită din
experiența proprie este mult mai puternică decât cea provenită din
experiența colectivă; acesta este și motivul pentru care încă nu
deținem o capacitate mulțumitoare de a gestiona deciziile colective:
pentru că responsabilii de decizii colective nu au înmagazinat în
corpul propriu, în mintea și psihicul lor, toate experiențele individuale
trăite la nivelul vieții colective. Și, probabil, că nici nu va fi vreodată
posibil ca cineva să poată înmagazina la nivel de individ cunoașterea
experiențială/ istorică a maselor. (Am folosit aici dubitativul, pentru că
nu știm ce ne rezervă evoluția tehnologică în viitor; spoiler: a se vedea
procesele de interconectare om-mașină.)
Dar este util și necesar să ne consolidăm potențialul de
gestionare corespunzătoare a deciziilor colective, pentru că ele
reprezintă motorul evoluției noastre, ca specie. Iar deciziile colective
109 / 139
sunt atât cele conștiente (pe care le luăm în cadrul organizării sociale,
politice, organizaționale, s.a.), cât și cele inconștiente (care se
propagă în mod indirect în urma produselor noastre tehnologice).
Când gândim securitatea în raport cu tehnologia, trebuie să
depășim gândirea care este limitată doar la exploatarea
necorespunzătoare/ vătămătoare a tehnologiei. Orice aspect
colateral, legat de tehnologie, trebuie luat în considerare, perceput,
cunoscut, înțeles și gestionat, pentru a ne asigura că tratăm în mod
extensiv securitatea cibernetică.
Așa cum se desprinde și din înțelesul fundamental al
termenilor, securitatea cibernetică privește necesitățile de securitate
care sunt în relație cu toate implicațiile pe care le aduce tehnologia,
prin utilizarea și existența ei în viețile noastre. Înțelegem, astfel, că
sunt multe aspecte pe care le avem de abordat și de explorat, de la
influența pe care tehnologia o aduce asupra omului, societății și
naturii, până la necesități de reglementare a contextului societății
tehnologizate sau la contextul de adaptare a sistemului educațional
la actuala fenomenologie a vieții.
Securitatea cibernetică complementară privește dincolo de
securitatea cibernetică aplicată, abordând securitatea în context
tehnologic, dintr-o perspectivă multilaterală/ trans-disciplinară care
cuprinde repere de inginerie, psihologie, sociologie, științe politice,
drept, medicină, biologie, chimie, marketing, economie, educație,
management, resurse umane, mediu, securitate și apărare s.a. –
practic, din toate domeniile vieții în care tehnologia își face simțită
prezența.
X. Efectele generate de tehnologie
De-a lungul vieții ei, prin utilizare, tehnologia influențează
mediul în care se manifestă. Modelează utilizatorii ei, contextul social
și natura. Rareori ajungem să ne gândim la această perspectivă, fiind
prinși în caruselul consumului de tehnologie și de conținuturi, și al
organizării permanente a vieții cotidiene.
110 / 139
Tehnologia este principalul instrument de care ne-am folosit
ca să construim lumea de azi, în forma ei de ecosistem
antropocentric. Iar prin tehnologie, facem referire aici atât la
tehnologia bazală (reprezentată de orice instrument material, fizic,
utilaj, construcție, etc., precum și de tehnologia informațională), cât și
la tehnologia de organizare (reprezentată de sistemele și
instrumentele de organizare socială, de tehnicile de comunicare și
relaționare inter-umană, etc.), respectiv la cea de ordin sensual
(reprezentată de mentalități, concepții, ideologii, credințe, etc.).
După cum am menționat și în capitolele de început, înțelegem
că tehnologie este orice produs al omului – material sau imaterial –
ori capacitate sau abilitate care îi permite să exprime conținuturi, să
organizeze resurse și să externalizeze capabilități. Toate aceste
instrumente/ mijloace de manifestare și expresie umană preiau din
conținuturile noastre și le modelează, le procesează și le folosesc, le
transmit și le propagă în mediul înconjurător. Evident, conform
direcțiilor pe care noi le-am imprimat în etapa de design și
programare.
De la suprafață privind, viața este simplă; este ceea ce este,
ceea ce se manifestă, ceea ce există. În substrat, este de o
complexitate greu de înțeles. Fiecare mic eveniment se desfășoară
în limita unor legi existențiale (ex. legile fizice) și se află în continuă
interdependență de mediul înconjurător, generând efecte prin fiecare
mișcare pe care o face.
Pentru că energia macro se află într-un echilibru de ansamblu,
într-o stare de conservare unitară, într-o funcționare homeostatică,
elementele mici (parte din această energie) se manifestă în condiții
de interdependență (uneori ușor de înțeles, alteori dificil – spre
imposibil – de urmărit). Efectele se propagă și provoacă un val de
manifestări corelate și ramificate.
---o---
În cuvinte simple, înțelegem că toate faptele și deciziile
noastre se propagă în mediul înconjurător. Iar tehnologiile de care
dispunem, preiau aceste fapte și decizii ale noastre, le multiplică, le
transformă, le autonomizează și le transmit, la rândul lor, în același
mediu de viață. Sunt ca un amplificator al nostru, care ne
111 / 139
externalizează conținuturile și produc reverberații, iar în final, ajung
să ne influențeze și pe noi, în buclă de feedback.
În lipsa cunoașterii efectelor produse de tehnologie, nu putem
ști dacă acțiunile noastre (externalizate, amplificate și propagate) fac
bine sau rău, construiesc sau distrug, vin în sprijinul nostru sau se
pun de-a curmezișul în calea evoluției noastre. Poate că multe dintre
ele produc plus valoare și au influențe benefice și, în egală măsură,
altele pot destabiliza echilibrul ecosistemic și premisele de evoluție
sănătoasă a speciei noastre.
A cunoaște efectele pe care le producem prin tehnologie ne
ajută să înțelegem ce anume putem schimba, cum anume putem
recalibra instrumentele pe care le gândim, cum ne putem adapta
mentalitățile și modul de abordare a vieții, astfel încât să ne facem
viața mai bună și mai confortabilă pe termen lung.
Iar acest ”pe termen lung” conține o înțelepciune vitală pentru
bunăstarea omenirii și a mediului. Pentru că perspectiva/ viziunea pe
termen lung este dificil de obținut și înțeles, și nu întotdeauna are o
înfățișare prea prietenoasă.
În mod special, în viața actuală extrem de dinamică și agitată,
oamenii caută recompense rapide, spontane, pe termen scurt,
echivalând ”calitatea vieții” cu beneficii de ordin material, cu confort
de ordin fizic, cu repere de stabilitate și satisfacere deplină a
necesităților bazale. Gradul nostru de răbdare este scăzut, iar nivelul
de solicitare, crescut. Suntem ca niște copii care au descoperit pentru
prima dată că viața presupune și efort, și fug repede înapoi în spațiul
psihologic al copilăriei, al confortului, al lipsei de griji, de încărcare
sau de presiune.
Însă, noi – oamenii – prin excelență ne datorăm acest înalt
nivel de evoluție (printre altele) și capacității de amânare a
recompensei, de a pune deoparte pentru mai târziu. Pentru evoluția
speciei, această capacitate de gestionare a resurselor pe termen lung
este, în mod fundamental, mai necesară decât savurarea beneficiilor
de pe termen scurt. Desigur, se poate naște o întreagă polemică pe
marginea subiectului, unii afirmând că viața merită trăită din plin, iar
alții că e bine să facem sacrificii pentru asigurarea continuității
disponibilității condițiilor optime de viață.
112 / 139
Adevărul este undeva la mijloc: avem nevoie să ne bucurăm
de viață pe termen scurt, pentru a ne împlini nevoile și a ne permite
să funcționăm în echilibru, astfel încât să putem construi în liniște cele
mai bune condiții de evoluție a vieții pe termen lung (și să se bucure
de ele și copiii noștri, și copiii copiilor noștri, și tot așa). Este ca în
teoria democratică: fiecare individ are deplină libertate de
manifestare, atât timp cât nu deranjează pe nimeni în jurul lui și are
grijă de mediul care îi susține viața.
---o---
Ce este important să înțelegem din această filozofie, este că
dacă nu cunoaștem influențele tehnologiei, nu putem controla
efectele generate de aceasta, predispunându-ne la riscul
destabilizării/ dezechilibrării condițiilor inerente și de mediu, ale
evoluției noastre. Dezechilibrul condițiilor este un risc; se poate
manifesta sau nu. Dar ne este mai de folos să îl cunoaștem, să îl
cuantificăm, să îl estimăm și să îl procesăm spre a putea preveni și
gestiona orice formă de manifestare a sa, decât să îl ignorăm și să
ne facem că nu există.
Avem nevoie să cunoaștem aspectele subtile ale tehnologiei
și ale deciziilor noastre colective, pentru a ne asigura că menținem
perspective constructive/ pozitive de evoluție umană și că ne
bucurăm de cea mai înaltă calitate a ecosistemului în care trăim.
Psihologia cibernetică
Psihologia cibernetică descrie fenomenologia tehnologiei în
context de utilizare umană, la nivel de individ. Orice interacțiune a
omului cu tehnologia îl modelează. Îi solicită atenția și concentrarea,
îi oferă o anumită experiență, îi influențează percepția, atitudinea,
reacțiile, obiceiurile, comportamentul. Îl supune unui proces
transformativ mai mult sau mai puțin sesizabil/ observabil, care poate
avea o pletoră de tipuri de consecințe și moduri de manifestare.
În prezent, domeniul psihologiei cibernetice se află încă la
început, tratând nu foarte corelat aspecte punctuale/ nișate de
influență a tehnologiei la nivelul psihicului uman, precum și repere de
influență la nivelul societății (cu precădere, orientate în jurul
fenomenului social media). În plus, cuprinde și subdomeniul analizei
113 / 139
psihologiei hackerilor, venind în sprijinul înțelegerii necesităților și
fundamentării deciziilor juridice care trag la răspundere faptele cu
nuanță infracțională.
Pe calea maturizării științifice, psihologia cibernetică poate
explora deplin evoluția și manifestările psihicului și corpului uman, în
corelație fenomenologică cu contextul tehnologic în care se
manifestă. Activitățile de cercetare se pot desfășura atât la nivel
fundamental, cât și aplicat, pentru a oferi înțelegere asupra unor
procese umane aflate deja în continuă adaptare și transformare.
---o---
Deciziile noastre părăsesc granițele trupului nostru și se
propagă, prin fiecare gând, vorbă sau faptă. Se adună vectorial,
venind din toate părțile, și formează o inerție dinamică a vieții noastre
colective. La această inerție formată din suma deciziilor individuale,
se adaugă – cu o pondere mai ridicată – deciziile colective, luate prin
intermediul formelor noastre de organizare socială și gestionare
centralizată a resurselor materiale și conținuturilor imateriale.
Toate instrumentele de organizare colectivă (de la
comunicarea de grup/ echipă, la legile naționale și comunitare; de la
grupuri, familie și organizații, la formațiuni statale și suprastatale) și
toate instrumentele de gestionare a vieții spirituale (rostul, sensul,
ideologiile, credințele, s.a.) sunt tehnologii pe care noi le însărcinăm
cu responsabilități, cu atribute ale noastre pe care le preiau și le
procesează independent de noi, la un nivel dincolo de capacitățile
noastre individuale. Numim aceste instrumente ca fiind tehnologii de
organizare și sensuale.
Toate acestea aduc influențe asupra individului și îl
modelează.
---o---
Tehnologiile bazale (materiale și informaționale) sunt o punte
de manifestare/ materializare în spațiul fizic, a tuturor conținuturilor
noastre umane. Amplifică deopotrivă tot ce suntem și tot ce
externalizăm prin tehnologiile noastre (de toate tipurile), la nivel
individual și colectiv.
114 / 139
Din perspectiva tehnologiei bazale, deci, psihologia
cibernetică poate naviga – nișat, integrat și/sau holistic – în
explorarea unor întrebări precum:
- Care sunt dependențele care se nasc în individ, din utilizarea
anumitor tehnologii, și care sunt efectele acestora, modificările
habituale, condiționările de dinamică psihică?
- Cum sunt influențate abilitățile, personalitatea, comportamentul,
gândirea, dezvoltarea, s.a. de anumite tehnologii?
- Cum putem beneficia de instrumentele tehnologice pentru a
facilita dezvoltarea unei gândiri autonome, critice și creative?
- Cum sunt influențate pragurile senzoriale și percepția, în urma
utilizării anumitor tehnologii?
- Care sunt răspunsurile comportamentale/ reacțiile/ deprinderile
care slăbesc în urma utilizării anumitor tehnologii?
- Ce putem pierde și ce putem câștiga, în termeni de competențe și
abilități individuale, în urma utilizării anumitor tehnologii?
- Cum sunt afectate procesele cognitive simple (ex. memoria), ca
urmare a utilizării tehnologiei actuale și viitoare?
- Cum influențează anumite tehnologii corpul uman, la nivel fizic?
- Care sunt procesele adaptive desfășurate la nivelul psihicului, în
urma interconectării fizice și logice om-mașină?
- Care sunt procesele de adaptare/ evoluție umană, ca urmare a
trăirii în mediul societal tehnologizat (ex. capacități native de
procesare Big Data), raportat la diverse categorii de vârstă?
- Care sunt tehnologiile și obiceiurile de consum care dăunează
creșterii copiilor?
- Care sunt condițiile tehnologice care facilitează o creștere
armonioasă și adaptată a copiilor?
- Cum este influențat procesul decizional (al responsabililor din
funcții de conducere organizațională și societală), în condiții de
mediu tehnologizat (ex. în condiții de digitalizare)?
- Cum este influențată capacitatea decizională individuală, în
condiții de informații abundente (Big Data)?
- Care sunt efectele de ordin psihic, generate de interacțiunea
omului cu tehnologia care dispune de inteligență artificială?
- Care sunt efectele gaming-ului asupra individului?
- Care sunt tehnologiile și principiile asociate gaming-ului, care pot
aduce plus valoare și eficiență vieții?
115 / 139
- Care este influența tehnologiei bazată pe realitate virtuală și
realitate augmentată? Cum poate fi aceasta exploatată în sens
constructiv?
- Care sunt considerentele de evoluție a autonomiei individuale, în
urma dobândirii unui anumit grad de libertate în explorarea
informațională, în utilizarea tehnologiei și în producerea de
conținut propriu?
- Care sunt modificările aduse nevoii de apreciere, resimțite la
nivelul individului, prin utilizarea tehnologiilor de media sociale?
- Care sunt modificările de ordin psihic, suferite de individ în urma
expunerii și manifestării publice în tehnologiile de social media?
- Care sunt influențele asupra evoluției psihice, în urma
experiențelor online cu conținut sexual?
- Care este contextul de dinamică psihică individuală, în cadrul
colectivelor internaționale de experți voluntari, care dezvoltă
tehnologii open-source?
- Care sunt influențele la nivelul spațiului psihologic și al intimității
individuale, în urma expunerii vieții private în mediul online?
- Cum se modifică nevoile afective în urma interacțiunii și prezenței
în online?
- Care sunt efectele asupra productivității individuale, în condiții de
muncă de la distanță?
- Care sunt reperele de încredere, la nivel individual, în care se
desfășoară relaționările interumane și interacțiunile om-
tehnologie?
- Care este influența marketing-ului, fake-news-ului și a altor
conținuturi informaționale livrate (precum și a modalității de
livrare) prin mijloace tehnologice?
Lista cu întrebări exploratorii poate fi continuată la nesfârșit, în
scopul cunoașterii modalității de desfășurare a proceselor psihice
individuale în context de interacțiune tehnologică, precum și pentru a
identifica necesitățile și soluțiile care conduc la dobândirea unei plus
valori în urma experienței tehnologizate.
---o---
Dacă ar fi să continuăm aprofundarea psihologiei cibernetice
și din perspectiva tehnologiilor de organizare și sensuale, ne-am
extinde mult dincolo de ceea ce percepem în prezent ca fiind obiectul
116 / 139
unui domeniu precum psihologia. Analizele referitoare la influențele
aduse de tehnologiile de organizare și sensuale pot forma chiar
domenii de studiu de sine stătătoare, precum: științele politice,
managementul organizațional, managementul resurselor umane, s.a.
Ca mostră de analiză a influențelor tehnologiilor de organizare
și sensuale asupra individului, putem gândi întrebări exploratorii
precum:
- Care este influența societății înalt tehnologizate asupra
individului?
- Care este dinamica psihică a individului, în raport cu evoluția
poziționării sistemelor guvernamentale vizavi de dreptul lui la
intimitate și viață privată?
- Cum este afectată încrederea individului în instituțiile publice, în
context de transparentizare ridicată (care poate conduce, de
exemplu, la cunoașterea mecanismelor vieții din spatele ușilor
închise)?
- Care este influența la nivelul individului, adusă de migrarea
diplomației clasice la o diplomație digitală și deschisă?
- Cum este influențat individul prin participarea activă permanentă
(facilitată de digitalizare și media sociale), la viața publică?
- Cum evoluează reperele de autenticitate, angajament și
direcționare sensuală a indivizilor, în condițiile societății înalt
tehnologizate?
- Cum sunt influențate sistemele de valori și credințele individuale,
în urma vieții societale înalt tehnologizate?
- Cum se adaptează individul la o societate pe orizontală,
desacralizată?
- Care sunt pârghiile de încredere inter-relațională și care sunt
mecanismele prin care individul construiește relații și parteneriate
durabile, productive, într-o societate deschisă, cu autoritate
dispersată (relativ) omogen la nivelul întregii populații?
Acestea și multe alte întrebări similare pot fi ușor preluate și
elaborate în discipline de studiu din cadrul științelor umaniste. Avem
nevoie de cercetare pe astfel de direcții, pentru a înțelege cât mai
bine influența pe care o resimte omul (la nivel individual), în buclă de
feedback, de la societatea rezultantă a tuturor deciziilor noastre
individuale și colective.
117 / 139
Sociologia cibernetică
În mod similar cu psihologia cibernetică, putem descrie
domeniul sociologiei cibernetice ca fiind studiul influențelor aduse de
tehnologie (în toate formele ei: bazală, de organizare și sensuală)
asupra societății (grup, colectiv, populație, etc.). Pe această cale,
vom întâlni un grad mai ridicat de complexitate analitică, întrucât
legăturile și corelațiile de tip cauză-efect își pierd cu ușurință urma, în
aglomerația de procese societale.
La nivel social, tehnologia aduce modificări asupra dinamicii:
- sociale (ex. în raporturile de relaționare în familie, în grupuri, în
societate);
- organizaționale (ex. prin modificarea modelelor de business,
reconceptualizarea încrederii tranzacționale);
- publice (ex. prin facilitarea transparenței, regândirea formatelor
ierarhice și inter-relaționale, schimbarea stilului de comunicare
internă și externă, adaptarea serviciilor publice la necesitățile
societății aflate în continuă schimbare);
- economice (ex. prin transformarea comportamentelor financiare,
migrarea instrumentelor și procedurilor bancare facilitate de
tehnologiile moderne);
- juridice (ex. prin transformarea modalităților infracționale, prin
adaptarea necesităților de percepție juridică la noutățile
tehnologice);
- politice (ex. prin abordările diplomatice, modalitățile de promovare
a viziunii politice, modalitățile de coagulare a grupurilor politice,
adaptarea procesului decizional în contextul abundenței
informaționale – Big Data);
- ideologice (ex. prin modelarea sistemelor de valori și credințe, a
culturilor), s.a.
La fel ca în subcapitolul anterior, putem explora domeniul
sociologiei cibernetice în funcție de tipul de tehnologii analizate:
bazale/ de organizare/ sensuale. Însă, pentru simplitate, vom
enumera un singur set de întrebări, orientate – în principal – din
perspectiva tehnologiilor bazale:
- Cum evoluează dinamica socială, în contextul tehnologiilor de tip
media sociale?
118 / 139
- Cum evoluează dinamica raporturilor de putere la nivelul
societății, în condițiile creșterii puterii de acțiune a indivizilor și de
contribuție productivă proactivă a acestora?
- Care sunt reperele de dinamică ale societății deschise, organizate
pe orizontală (sau, cel puțin, ale sectoarelor de dezvoltare
tehnologică organizate deschis, pe bază de contribuție
voluntară)?
- Care sunt reperele și mentalitățile care formează gândirea
colectivă unitară, în procesele de dezvoltare a tehnologiei open-
source?
- Cum evoluează reperele de încredere inter-umană, în condițiile
unei societăți cu mecanisme de organizare autonomă? Dar în
raport cu gradul înalt de tehnologizare al societății?
- Care sunt reperele de evoluție societală, în condițiile înaltei
tehnologizări (digitale, responsive în timp real, virtualizate)?
- Care sunt efectele macro ale creșterii și democratizării accesului
la informații, la nivelul întregii populații?
- Care sunt efectele creării de monopoluri industriale înalt
tehnologizate?
- Care sunt efectele democratizării accesului la resursele și
condițiile de dezvoltare tehnologică?
- Care sunt efectele facilitării dezvoltării în masă, a autonomiei,
creativității și abilității de cogniție critică/ analitică la nivel
individual?
- Care este dinamica inter-dependențelor și relațiilor internaționale,
în condiții de înaltă tehnologizare?
- Care este dinamica globalizării, în context tehnologic?
- Care sunt reperele de dinamică ale diplomației digitale și/sau
cibernetice?
- Care este dinamica balanței dintre inerția tradiționalismului
(conservatorism) și avântul inovației (progresism), în condițiile
accelerării tehnologice?
- Care sunt reperele de evoluție a câmpului muncii și a mediului
organizațional, în condiții de lucru de la distanță?
- Care sunt perspectivele și condițiile optime de dezvoltare a
sistemelor educaționale, în context de înaltă tehnologizare?
- Care sunt necesitățile de transformare educațională, în raport cu
evoluția tehnologică?
119 / 139
- Care sunt reperele de dinamică socială, în condițiile creșterii
gradului de integrare și interacțiune om-tehnologie? Care sunt
criteriile de identitate umană, de echitate interumană și de etică,
în aceste condiții?
- Care este dinamica suveranității statelor și a modalităților
tradiționale de organizare socială, în condiții de înaltă
tehnologizare și spațiu virtual fără granițe?
- Care este dinamica regimului armelor înalt tehnologizate (în
special, a celor cibernetice) și care sunt necesitățile de limitare și
diminuare a înarmării?
- Care sunt implicațiile sociale generate de transpunerea
activităților colective din format fizic în format virtual (ex.
videoconferințe)?
- Care sunt necesitățile pentru alinierea vitezei procesului
reglementativ la cel al dezvoltării tehnologice?
- Care este dinamica deciziilor colective (ex. corespunzătoare
funcțiilor înalt administrative), în condițiile digitalizării?
- Cum evoluează reperele de sănătate, siguranță, securitate,
ordine publică și apărare, în contextul societății tehnologizate?
- Care este influența tehnologiei autonome asupra societății?
- Care sunt perspectivele evoluției tehnologiei pe termen lung și ce
influență pot aduce acestea asupra societății?
Și, în completarea tuturor acestora, își găsește locul
întrebarea: ”... și cum influențează aceasta [a se înlocui cu obiectul
de interes al fiecăreia din întrebări] condițiile de evoluție umană și de
mediu?”.
Ecologia cibernetică
Influența adusă de tehnologie asupra ecosistemului, de
asemenea, face subiectul unor studii aprofundate, care pot oferi
indicii și repere pentru eventuale soluții de îmbunătățire a condițiilor
de trai la nivel planetar.
Este interesant să analizăm cel puțin următoarele aspecte:
- Care este influența adusă de tehnologie asupra climei? Dar
asupra resurselor naturale?
120 / 139
- Care sunt legăturile subtile în tandemul om-tehnologie-natură,
care sunt nocive și se propagă în mod auto-întreținut?
- Care este dinamica de evoluție a naturii, prin raportare la nivelul
de conștiință umană (individuală și colectivă)?
- Care este influența asupra naturii, adusă de tehnologiile
dezvoltate în masă (ex. centre de date, hiper-computere, lanțul
computațional blockchain, s.a.)?
- Cum putem folosi tehnologia pentru dezvoltarea de noi tehnologii
verzi, care permit regenerarea și restabilizarea naturii?
- Cum influențează sistemele de organizare politico-socială
procesul exploatării resurselor naturale?
- Care sunt necesitățile de politici publice privind dezvoltarea
tehnologică, care să asigure condițiile/ premisele recâștigării
echilibrului ecosistemului?
---o---
Psihologia, sociologia și ecologia cibernetică sunt domenii
care necesită analiză aprofundată, în scopul identificării cauzelor
principale/ surselor inițiatoare care generează inerție acțională auto-
propagată și auto-amplificată. Nu este suficient să tratăm doar
efectele vizibile ale fenomenelor pe care le studiem, pentru că ne
conduce doar la risipirea resurselor de care dispunem.
Cunoașterea dobândită prin studiul influenței tehnologiei
asupra omului, societății și naturii ne oferă o perspectivă situațională
a efectelor deciziilor noastre de zi cu zi. Este necesar să știm urmările
faptelor noastre, ca să știm necesitățile de (re)organizare umană
(individuală și socială) care permit menținerea echilibrului vieții,
asigurarea condițiilor optime de evoluție, precum și prevenirea și
contracararea manifestării riscurilor degenerative umane (adică
riscurile generate ca urmări implicite ale acțiunilor umane individuale
și colective, respectiv ale tehnologiei).
XI. Organizarea generată de tehnologie
Indiferent dacă facem sau nu demersuri de cunoaștere asupra
dinamicii evoluției ei și a influențelor pe care le aduce, tehnologia ne
121 / 139
schimbă în mod implicit/ automat contextul de viață. Ne schimbă pe
noi, ca oameni, și reperele noastre de interacțiune. Modelează mediul
natural. Gravează adânc și persistent, în devenirea și maturizarea
erei antropocentrice.
În cele ce urmează, abordăm succint câteva repere referitoare
la modalitatea în care tehnologia modelează organizarea și inter-
relaționarea socială.
Etica
Tehnologia este o extensie a noastră, a ceea ce suntem noi, a
ceea ce gândim, a modului cum privim și ne raportăm la viață. Este o
formă de materializare a sistemelor noastre de valori și de moralitate.
Toate aceste repere sunt imprimate în tehnologie în cadrul
etapelor de design, producție și (re)actualizare, din ciclul ei de viață.
Transferul de conținuturi este realizat, majoritar, în mod inconștient,
prin deciziile coordonatorilor de proiecte și priceperea
programatorilor/ constructorilor, precum și prin aportul provenit din
zona consumatorilor, ca feedback cu privire la necesitățile de
îmbunătățire a produselor. Și, evident, în etapa de (re)actualizare,
mai este realizată o serie de inputuri generate în mod automat în
urma întâmpinării de dificultăți/ erori în utilizare ori în urma
incidentelor cibernetice.
Practic, reperele de etică implementate în tehnologie sunt
marca nivelului de moralitate și conștiință a producătorilor, modelate
cu fine contribuții din zona utilizatorilor și a reglementatorilor.
---o---
Eforturile de reglementare a eticii sunt timide, făcându-și
remarcată prezența abia în anii recenți. Regulamentul General pentru
Protecția Datelor14 (GDPR) din UE este un exemplu de răspuns tardiv
la necesitățile stringente de oprire a exploatării libere a datelor
personale ale consumatorilor, de către deținătorii de tehnologie.
După mai bine de două decenii în care Internetul a evoluat
exploziv pe baza valorificării fără limite a datelor utilizatorilor,
14 General Data Protection Regulation – GDPR – https://eur-lex.europa.eu/eli/reg/2016/679/oj
122 / 139
începând cu anul 2016, veniturile anuale din tranzacționarea datelor
au depășit veniturile din industria petrolului, la nivel mondial. (de unde
și sloganul care circulă astăzi mândru în industria tehnologiilor
informaționale: ”Data is the new oil.”)
Spunem că GDPR este o reglementare tardivă, pentru că
faptele au fost deja întâmplate. Informațiile captate de tehnologii
despre utilizatori au fost îndelung exploatate fără limite, formând
obiceiuri de business care riscă să dăuneze utilizatorilor pe termen
lung. Desigur, această libertate în colectarea și utilizarea datelor a
generat depozite imense de informații (Big Data) care au stimulat
dezvoltare rapidă a unor sectoare tehnologice precum Inteligența
Artificială și analiza de Big Data. Ceea ce, dacă ignorăm faptul că a
fost realizată printr-o masivă violare a dreptului la intimitate și viață
privată, putem spune că este un plus de evoluție tehnologică.
Dacă doar ne gândim la sintagma ”Data is the new oil”
înțelegem că datele sunt un bun de valoare. Ba chiar, putem spune,
un bun de foarte mare valoare, care aparține consumatorilor. Din
start, doar privind ca atare contextul tranzacțional, înțelegem că acest
bun aducător de venituri financiare trebuie să fie compensat/
cumpărat; pentru că altfel, este furt. Poate că este dificil să înțelegem
cum anume cookie-urile colectate de site-uri și de aplicații sunt bunuri
ale utilizatorilor, pentru care deținătorii de tehnologii trebuie să îi
plătească pe consumatori dacă vor să le obțină... dar cam asta este,
pe scurt, ceea ce ascunde sloganul tehnologic contemporan ”Data is
the new oil”.
Când vom înțelege în profunzime implicațiile pe care le
presupune fenomenul datelor personale în format electronic, vom ști
ce anume avem de făcut și cum să gestionăm dezechilibrul dintre
producătorii și consumatorii de tehnologie.
---o---
Este foarte important să asigurăm un echilibru între producția
și consumul tehnologiei. În lipsa acestor repere de balansare și
echilibru, tehnologia riscă să exploateze în mod necuvenit elemente
de substrat ale oamenilor, bunuri informaționale despre care – până
mai de curând – nici nu știam că pot fi percepute ca având o anumită
valoare.
123 / 139
Descoperirea valorilor informaționale pe care oamenii le dețin
intrinsec, prin existența și manifestarea lor naturală, este un pas de
evoluție societală comparabil cu descoperirea (sau inventarea)
conceptului de drepturi ale omului. Privind această analogie,
înțelegem că omenirea, practic, tocmai a făcut un salt de evoluție la
nivelul conștiinței colective. Dacă prin inventarea conceptului de
drepturi ale omului, s-a pus preț pe valoarea existențială a indivizilor,
prin înțelegerea importanței datelor, se pune preț pe valoarea
informațională a acestora.
Acum, valorăm și pentru că existăm, și pentru că ne
manifestăm. Pentru că producem conținuturi și mișcare. Tehnologia
informațională tocmai a făcut evidentă valoarea intrinsecă a
potențialului de mișcare individuală, iar prin valorizarea datelor,
subliniază că acțiunile și faptele fiecăruia dintre noi produc o plus
valoare la nivelul mediului în care trăim.
Continuând analogia, putem constata că un următor pas ar fi
să valorificăm conținuturile produse de indivizi (fenomen care se află
în etapă incipientă, prin încurajarea de contribuție voluntară și
producție de conținut în platformele tehnologice de tip media sociale),
respectiv semnificațiile și nuanțele originale, autentice, ale
”utilizatorilor/ consumatorilor” de tehnologie. Mai devreme sau mai
târziu, când puterea de calcul ne-o va permite, ”Data is the new oil”
va evolua în ”Content is the new oil” și vom înțelege că următorul cel
mai de preț bun al omului este creativitatea sa.
Și tot așa, cum evoluăm noi în aprecierea întâi a existenței
omului (drepturile), iar – mai apoi – a manifestării lui (datele) și a
creativității (conținuturile), ne putem aștepta să valorificăm mai târziu
chiar și conștiința elevată, organizarea colectivă deschisă
homeostatică și orice alte forme superioare de gestionare eficientă a
resurselor psihice și spirituale umane.
---o---
Problema cu toate aceste bunuri umane imateriale/ abstracte
constă în exploatarea lor neautorizată/ necuvenită/ neanunțată/
frauduloasă. Oamenii dețin enorm de multe conținuturi de valoare, de
ordin psihic și spiritual, pe care și le manifestă natural, ca abilități
native. Nu sunt întotdeauna (ba poate chiar, decât în foarte rare
124 / 139
cazuri) conștienți de ele și de importanța lor; dar și le manifestă, din
moment ce sunt parte din ei.
Tehnologia are un mod perfid de a intra pe sub pielea
oamenilor și de a exploata aceste bunuri existențiale, fără a le cere
acordul (așa cum este cazul prelucrării/ tranzacționării datelor
utilizatorilor în scopuri de marketing), sub formă de fraudă, de furt, de
violare a intimității personale.
Etica presupune dezvoltarea de mecanisme de echilibru, în
scopul protecției și valorificării corespunzătoare a bunurilor (fizice,
psihice și spirituale) umane. Prin implementarea eticii în dezvoltarea
tehnologică, ne asigurăm că aducem un echilibru în procesul
valorificării bunurilor umane existențiale.
Este posibil ca etica să încetinească dezvoltarea tehnologică,
însă aduce plusuri incomensurabile sănătății societale. Uneori, poate
că este mai bine să domolim galopul creșterii necontrolate a
tehnologiei pe termen scurt, pentru a asigura condiții de evoluție
echilibrată a omenirii și a mediului înconjurător, pe termen lung.
Dacă vorbim despre eforturile de dezvoltare a Inteligenței
Artificiale cu aplicabilitate și interacțiune umană, spre exemplu, este
de analizat dacă putem construi soluții de inteligență artificială
independente de date preexistente. În prezent, Inteligența Artificială
este dependentă de 3 factori: puterea mare de procesare, algoritmica
specifică și Big Data. Inconvenientul, din punct de vedere social, este
că Big Data provine din activitatea utilizatorilor – ceea ce ridică
probleme privind intimitatea (privacy) oamenilor, din perspectiva
protecției datelor personale.
O algoritmică corespunzătoare (care să învețe treptat, în baza
experienței ”proprii”, în mod similar cu modelul învățării umane,
autonom, independent, urmând doar un set limitat de repere
predefinite – ci nu dintr-un set universal de date generate de utilizatori
la nivel mondial/ deci din baze de date șablon, preprogramate) poate
reprezenta o soluție viabilă de AI (ex. AI neuro-simbolic15), care să se
rezume numai la doi dintre factorii tehnologici – puterea și algoritmii
de procesare – eliminând o serie de probleme cu specific social.
15 Neurosymbolic AI - https://medium.com/swlh/neurosymbolic-ai-to-give-us-machines-with-true-common-sense-9c133b78ab13
125 / 139
Însă un astfel de exemplu de abordare, ar presupune
asumarea încetinirii vitezei de învățare a soluțiilor de Inteligență
Artificială, care contravine dorințelor și necesităților producătorilor.
Acest exemplu, precum și multe alte subiecte similare, pot
reprezenta obiectul unor studii aprofundate care să răspundă în mod
practic necesităților de dezvoltare și implementare a eticii
tehnologice.
---o---
Dezvoltarea eticii și creșterea conștiinței umane sunt
indispensabile pentru asigurarea echilibrului între procesele de
producție și cele de consum tehnologic. Aceste repere de echilibru
trebuie să se regăsească sub formă de principii și norme asimilate la
nivelul populației și sub formă de reglementări care să încadreze
evoluția tehnologică într-un context de sănătate și siguranță.
În prezent, găsim demersuri de gestionare a eticii tehnologice,
în principal în relație cu procesarea și gestionarea datelor cu caracter
personal, cu dezvoltarea Inteligenței Artificiale, cu integrarea om-
tehnologie sau cu gestionarea balanței dintre securitate și intimitate
(security vs. privacy).
În viitor, ne putem aștepta la o sincronizare/ dezvoltare
simultană a eticii și drepturilor omului în raport cu evoluția și utilizarea
tehnologică, în mod special în zona de proprietate intelectuală,
libertăți fundamentale, libertăți democratice (de liberă expresie și
manifestare) – care să prevină apariția unor sloganuri de tipul
”Content is the new oil”.
---o---
Continuând raționamentul, înțelegem că se va găsi mereu câte
un ”new oil” care să migreze în funcție de evoluția obiceiurilor de
consum și a tipurilor de conținuturi pe care le poate gestiona omul,
prin tehnologia sa. Este necesar să asimilăm în zona de etică principii
de gestionare corespunzătoare a relației omului cu natura, astfel încât
să asigurăm oprirea exploatărilor necorespunzătoare și dezvoltarea
unui echilibru de durată, la nivelul ecosistemului în care trăim.
126 / 139
Repere juridice
Așa cum menționam anterior, tehnologia produce modelări în
dinamica societală, în reperele de organizare inter-umană, în mod
natural, fără să aștepte un consimțământ al nostru. Avem nevoie să
înțelegem caracterul acestor modelări și să le transpunem în cadrul
formal care descrie buna desfășurare a vieții.
Sistemul de reprezentare juridică are nevoie să asimileze
noutățile societale, să își adapteze percepția asupra esenței și
identității tehnologiei, asupra esenței și identității omului în raport cu
tehnologia, asupra răspunderii asociate faptelor umane. Trebuie să
facem demersuri de actualizare a sistemului de drepturi și a cadrului
legislativ, pentru a ne păstra ancorați în realitățile prezente și a
răspunde în mod calat evoluțiilor viitoare.
Dacă nu adaptăm reperele juridice/ scriptice la specificul
societății tehnologizate, riscăm o creștere a decalajului dintre idealul
dezirabil și realitatea existentă, îngreunând toate eforturile umane de
materializare a concepțiilor și viziunilor abstracte/ imateriale.
Ajungem să desincronizăm bioritmul social, sistemul educațional și
profesional, pierzând pași importanți în fața evoluției tehnologice.
Scopul fundamental, în ceea ce privește securitatea umană,
este să ne păstrăm ascendentul în fața tehnologiei. Pentru a fi
capabili să controlăm evoluția și interacțiunea cu tehnologia, avem
nevoie de agilitate în mișcare (la nivel social/ organizațional/
instituțional/ administrativ/ guvernamental/ decizional, etc), de
rapiditate în materializarea deciziilor și de acțiune proactivă în
dezvoltarea tehnologiei și a echilibrului om-tehnologie-natură. Avem
nevoie deopotrivă să facilităm dezvoltarea tehnologică și să asigurăm
implementarea cerințelor de etică.
Avem nevoie să actualizăm drepturile omului în context
tehnologic, să revizuim legislația pentru a răspunde corespunzător
necesităților societății tehnologizate, să gestionăm echilibrul dintre
securitate și intimitate, să asigurăm o fundație solidă pentru
menținerea și creșterea încrederii (inter-umane și om-tehnologie) și
să creăm condițiile propice pentru dezvoltarea sustenabilă a
ecosistemului în care trăim.
127 / 139
Transformarea digitală
Revoluția industrială actuală, care se desfășoară mut (dincolo
de nivelul nostru perceptiv primar), conduce la o transformare digitală
a societății, trecerea de la realitatea fizică la cea cibernetic-fizică fiind
mai degrabă exponențială, decât liniară.
Transpunerea cerințelor vieții de la fizic la cibernetic-fizic nu se
face prin transpunere 1-la-1, ci prin adaptare corespunzătoare, cu o
atenție deosebită alocată tuturor detaliilor de implementare. Avem
nevoie să devenim conștienți că orice acțiune fizică sau virtuală are
un emițător și unul sau mai mulți beneficiari. Este posibil ca
multitudinea de activități și tranzacții de fundal (background activity)
a societății tehnologizate să scape percepției noastre; însă trebuie să
rămânem vigilenți și să conștientizăm că nimic nu se desfășoară în
van și că toate acțiunile inițiate de om sau de tehnologie produc
urmări și efecte.
Este o chestiune de responsabilizare individuală și colectivă,
să ne creștem și să ne menținem la un nivel ridicat vigilența cu privire
la implicațiile mai puțin evidente ale vieții tehnologizate. Cunoașterea
mentalităților de funcționare a tehnologiei și a societății, în ansamblul
ei, ne asigură înțelegerea perspectivelor spre care ne îndreptăm
vertiginos, mânați de la spate de inconștientul colectiv pe care ni l-am
construit de-a lungul timpului, prin deciziile pe care le-am luat fiecare
dintre noi.
Locul și situația în care ne aflăm ni se datorează numai nouă.
Nu a venit nimeni din afara Pământului, să ne aranjeze sau să ne
strice jocurile. Tot ceea ce trăim este inițiat în urma deciziilor noastre
și rostogolit (mai mult sau mai puțin autonom) în inconștientul
colectiv/ societal.
---o---
Transformarea digitală are calitatea de a amplifica inerția vieții
și toate conținuturile noastre umane pe care le-am exteriorizat și le-
am atribuit produselor noastre (materiale și imateriale), însărcinându-
le de multe ori inclusiv cu asumarea responsabilității care ne revine.
Este important să înțelegem că avem nevoie să ne modelăm
percepția și înțelegerea asupra fenomenelor, să privim cu ochii minții
procesualitatea de fundal și să ne fondăm corespunzător deciziile pe
128 / 139
care le luăm, astfel încât să putem gestiona evoluția evenimentelor și
perspectivelor de viață, și să asigurăm condițiile menținerii echilibrului
ecosistemic.
Adaptarea educației
Cea mai sigură cale de a menține ascendentul omului asupra
tehnologiei constă în actualizarea și dezvoltarea corespunzătoare a
educației, la nivelul întregii populații umane. În lipsa educației, omul
nu are cunoaștere și devine orb în fața derulării evenimentelor și
fenomenelor care îl înconjoară.
Avem nevoie să adaptăm sistemul educațional la actuala
fenomenologie a vieții, astfel încât să cunoaștem substraturile de
funcționare a societății și a tehnologiei. Cele două – societatea și
tehnologia – sunt strâns corelate în manifestare și în evoluție,
aflându-se într-o dependență reciprocă. Omul creează tehnologia
pentru a-și satisface nevoile (teoria constructivismului social), iar
tehnologia modelează nevoile și dinamica umană în urma utilizării
sale (teoria determinismului tehnologic).
Reperele menționate în capitolele precedente (privind etica și
juridicul) sunt exemple de scopuri superioare care necesită un grad
corespunzător de cunoaștere, competențe și abilități umane.
Progresul pe care avem nevoie să îl facem în înțelegerea
fenomenologiei vieții actuale și viitoare presupune eforturi de
educație la toate categoriile de vârste și orientarea resurselor, în mod
consistent, în mediile academic și de cercetare.
Oamenii au nevoie de libertate și autonomie în manifestarea
conținuturilor, pentru a-și asigura o poziție de unicitate
necompetițională, în contextul diversității și capabilităților înalt
tehnologizate.
Educația trebuie adaptată la contextul tehnologic, pentru a
permite oamenilor să cunoască realitățile în care trăiesc, să își
adapteze viețile și perspectivele la specificul societal (să își păstreze
capacitatea de a produce plus valoare, să fie utili și relevanți), să
asigure controlul și direcționarea procesului evoluției tehnologice, să
contribuie la menținerea echilibrului naturii și să creeze condiții de
sănătate, siguranță și securitate pentru evoluția umană.
129 / 139
Orientarea deciziilor
Cunoașterea ne ajută să ne putem orienta deciziile și cursul
vieții. Ne dă libertate de mișcare și asigură fundația de resurse pe
care ne putem construi capacitatea de gândire critică, analitică,
creativă, autonomă.
Deciziile sunt vitale în procesul de modelare a vieții, a
contextului social și a mediului care ne înconjoară. Sunt conținuturile
cu care hrănim inerția inconștientă colectivă și condițiile practice de
desfășurare a vieții.
Dacă tot urmează să construim o tehnologie cu potențial de
funcționare autonomă, putem să ne gândim să dezvoltăm mecanisme
de management (automatizat) al cunoașterii, care să preia cantitățile
de date industriale de care dispunem și să le proceseze în mod
inteligent, spre a identifica cele mai bune soluții pentru viitor.
Tehnologia bazată pe Inteligență Artificială ar putea sta la baza unui
sistem tehnologic de management al cunoașterii, ca marcă de
excelență a externalizării unei abilități native umane (în speță,
abilitatea de gestionare structurată/ organizată a informației deținute).
Managementul cunoașterii pe bază de inteligență artificială ar
duce la un nou nivel actualul sistem de reprezentare a informației,
existent în Internet. În prezent, informația este stocată în formă brută,
în mod cvasi-centralizat, static (în sensul că o găsim prin interogarea
de la un singur post de lucru/ punct de acces la Internet). În viitor,
informația ar putea să ne parvină în formă prelucrată, procesată
corespunzător spre a servi în mod adaptat necesităților utilizatorului,
și în mod dinamic și distribuit (prin interacțiune multi-senzorială și
integrare nativă a omului cu tehnologia). Acum, avem informație
brută, la un click distanță; în viitor vom avea informație procesată,
adaptată nevoilor noastre, la un gând distanță.
În aceste condiții, este vital să dezvoltăm mecanisme de
control al deciziilor, pentru a nu risca dezvoltarea de bias-uri
procesuale, care să se propage în mod necontrolat în tehnologie și în
inerția inconștientului colectiv.
---o---
Nu există garanții privind cunoașterea corectă a polarității
(pozitive sau negative) pe care procesul evoluției umane o prezintă și
130 / 139
o va urma. Deși își influențează în mod indirect condițiile și calitatea
vieții, omul nu are o capacitate automată/ intrinsecă de a discerne
asupra tendințelor de evoluție macro ale speciei, întrucât fenomenul
în sine este rodul unui efort colectiv. Iar individul încă nu a interiorizat
capacitățile de gestionare colectivă ale speciei.
Deși, la nivel mondial, specialiștii se întrec în realizarea de
predicții privind evoluția omului în raport cu tehnologia pe care o
creează, este dificil de estimat dacă ne îndreptăm spre un rezultat
nefast sau dacă parcurgem o cale de dezvoltare a speciei. Cum,
deopotrivă, este dificil să garantăm că predicțiile și previziunile vor fi
îndeplinite, din moment ce viața este plină de incertitudini la tot pasul,
care pot modifica oricând mersul lucrurilor.
În plus, dacă ascultăm teoria fizicii cuantice, înțelegem că un
eveniment își schimbă cursul desfășurării chiar și prin simpla
prezență a unui observator; caz în care, prin simpla acțiune de
predicție, noi în fapt observăm posibilul eveniment viitor care,
automat, își schimbă deci cursul de evoluție.
Însă faptul că nu putem prezice cu precizie desfășurarea
evenimentelor, nu înseamnă că ne putem relaxa, adormindu-ne
vigilența. Cunoașterea realităților prezente și a posibilităților de
desfășurare a viitorului oferă o șansă analizei riscurilor cu care ne
putem confrunta și pregătirii pentru prevenția și contracararea
manifestării lor. Ceea ce conduce, automat, la diminuarea risipei
resurselor, scăderea potențialului distructiv și creșterea șanselor
pentru o evoluție echilibrată a omenirii.
Avem nevoie de analiza aprofundată a necesităților de
sănătate, siguranță și securitate, pentru a ne asigura – în mod
proactiv – că suntem pe o cale de creștere, de dezvoltare, de
construcție echilibrată. Avem nevoie să conștientizăm că toate
schimbările majore sunt generate de procesele decizionale umane,
iar restabilirea și menținerea unui echilibru sau optimizarea condițiilor
propice dezvoltării pot fi obținute prin efort colectiv, în mod conștient,
asumat și direcționat.
---o---
131 / 139
Pentru a împlini aceste deziderate, avem nevoie să dezvoltăm
corespunzător mecanismele educaționale și de cercetare, de
cooperare și colaborare pe orizontală la nivel de mediu academic –
industrie – mediu public – societate, de creștere și valorificare a
capacității inovatoare și creative, de reglementare, percepție juridică,
inter-relaționare și organizare socială, de globalizare, de control
asupra tehnologiei și de interacțiune cu natura. Toate – privite din
perspectiva sănătății, siguranței și securității umane, și asumate atât
la nivel colectiv, cât și individual.
Avem posibilitatea (libertatea) și responsabilitatea să pregătim
un teren fertil pentru viitorul nostru și al generațiilor care ne vor urma.
Avem nevoie să luăm decizii în mod conștient, corect și documentat,
cu privire la calea transformării societale și tehnologice, și să evităm
să ne lăsăm purtați și modelați – de la sine – de efectele subtile ale
manifestării noastre colective inconștiente.
132 / 139
PERSPECTIVE
XII. Tendințe de evoluție
Autonomia
Tehnologia tinde să devină autonomă. Deține, în prezent,
capacități de automatizare, iar mulțumită Inteligenței Artificiale va
face pași spre dobândirea unei autonomii în mișcare, în evoluție
(auto-dezvoltare) și în capacitatea de a lua decizii.
În aceste condiții, noi avem nevoie – atât la nivel individual, cât
și colectiv – să ne valorificăm și să ne sporim autonomia în mod
prioritar, pentru a ne menține competitivitatea în raport cu tehnologia
și pentru a ne păstra capacitatea de control/ ascendentul asupra ei.
A avea controlul asupra tehnologiei înseamnă să o cunoaștem
în toate amănuntele ei, să o putem privi și înțelege ca pe un sistem
deschis, etalat (transparent box), să evităm pe cât posibil
interacțiunea cu ea ”legați la ochi”. În raport cu percepția și
înțelegerea noastră, tehnologia trebuie să nu fie un mister, un sistem
închis, ascuns (de tip black box). Ea poate evolua autonom; dar noi
trebuie să înțelegem – cu ochii minții – procesele de fundal și
implicațiile existenței și funcționării ei. Trebuie să îi intuim mișcările,
procesele, funcțiile. Trebuie să o cunoaștem, ca să putem păstra
capacitatea decizională și acțională dintr-o poziție care permite
controlul.
---o---
Menționam, în conținutul cărții, că putem grupa tehnologiile în
trei categorii: bazale (care execută sarcini de bază, existențiale, de
implementare pre-programată a conținuturilor umane), de organizare
(care înlesnesc și coordonează relaționarea interumană și
organizarea socială) și sensuale (care susțin procesul creativ,
explorarea sensului și a spiritualității).
Momentan, vârful tehnologic de care dispunem (cu referire
aici, la tehnologia informațională) se află încă în registrul tehnologiilor
133 / 139
bazale. Prin trecerea la Inteligența Artificială, tehnologia va prinde un
grad mai ridicat de autonomie, care îi va oferi posibilitatea realizării
unui pas evolutiv, spre categoria tehnologiilor de organizare.
Din această poziție, ne putem aștepta să vedem că tehnologia
ne va facilita organizarea vieții curente, populând peisajul social cu
elemente procesuale pe care le percepeam – până de curând – ca
fiind un atribut prin excelență uman. Vom vedea algoritmi capabili să
discearnă înțelesurile logice dintr-un proces juridic, spre exemplu,
sau să recomande anumite comportamente tranzacționale
economice în urma analizei evenimentelor sociale, sau să organizeze
homeostatic fluxurile de circulație terestră (și, în curând, și aeriană)
în orașe, să ofere indicații și recomandări de gestionare ecologică a
resurselor naturale în baza analizei de Big Data din Internet și din
imagini satelitare, s.a.m.d.
Orice acțiune și decizie (relativ) simplă care poate fi
automatizată va fi preluată și implementată de tehnologie. Astfel,
tehnologia va degreva omul de sarcini administrative și de
organizare, eliberându-i timpul și oferindu-i posibilitatea (și
obligativitatea morală totodată) de a-și explora, dezvolta și valorifica
potențialul creativ.
Și am menționat ”obligativitatea morală” a omului de
valorificare a creativității, pentru că mai devreme sau mai târziu
tehnologia va avansa cu pași repezi către categoria tehnologiilor
sensuale, care pot crea conținuturi de valoare, încărcate cu sens. În
această etapă, ne putem aștepta să găsim în tehnologie un partener
de dezvoltare, un coechipier (uneori chiar simbiotic, în cazul integrării
om-tehnologie) care ne ajută să explorăm esteticul și înțelesul vieții,
în căutarea fericirii și a împlinirii. Ne va putea oferi alternative de
ideologii și sisteme de gândire, de mentalități, de soluții ingenioase și
menținere a echilibrului homeostatic la nivelul ecosistemului în care
trăim. (Asta, în cazul fericit în care vom evita să o folosim în scopuri
distructive, după cum bine observăm predispozițiile noastre istorice
de evoluție, la nivel de specie.)
Viitoarea tehnologie va urma o cale auto-direcționată, propriul
destin, propriul algoritm de creștere naturală, ieșind de pe poteca
trasată de creatorul ei, iar noi vom avea nevoie să fim pregătiți și
antrenați în procesele de analiză a relației om-tehnologie, pentru a ne
134 / 139
asigura sănătatea și certitudinea existențială. Va trebui să ne
menținem un ascendent asupra ei, pentru a-i putea controla și
direcționa manifestarea și evoluția, în avantajul nostru și al mediului
înconjurător.
Topici de evoluție
Pe termen scurt, ne putem aștepta să întâmpinăm cel puțin
următoarele evoluții:
- Tranziția de la procesarea binară, la cea cuantică;
- Tranziția de la procesarea pre-programată/ liniară la cea
autonomă/ inteligentă/ neliniară;
- Creșterea gradului de interconectare, integrare și
interdependență;
- Creșterea procentului tehnologiilor dezvoltate deschis (open-
source), comparativ cu tehnologiile proprietare/ încapsulate.
Printr-o eventuală democratizare a accesului la resursele de
dezvoltare, se poate forma o plajă de bază de resurse deschise,
de la care să se continue cu personalizarea/ customizarea
produselor și înregistrarea lor ulterioară sub drepturile de autor;
- Tranziția de la informația statică (brută, accesibilă prin căutare) la
cea dinamică (procesată, prelucrată, accesibilă prin interogare);
- Tranziția de la un ecosistem/ mediu de viață inert la unul conștient
și interactiv (care dispune de un grad ridicat de senzoristică, de
capacități de procesare informațională și de interfațare fluentă cu
omul; un Internet of Everything interactiv și inteligent).
- Eficientizarea procesuală în organizarea socială, prin dezvoltarea
de medii/ contexte inteligente (ex. Smart City, Smart
Administration, Smart Everything);
- Explorarea și valorificarea realității virtuale și augmentate;
- Analiza de Big Data (atât prin intermediul instrumentelor
tehnologice, cât și ca abilități native umane);
- Transformarea educației și a înțelegerii vieții. Creșterea nivelului
de conștiință individuală și colectivă;
- Automatizări și autonomizări industriale;
- Valorificarea și procesarea eficientă integrată (și poate chiar
autonomă) a conținuturilor și contribuțiilor umane;
- Creșterea gradului de transparență;
135 / 139
- Creșterea importanței și influenței mediului de cercetare, în
special pentru fundamentarea deciziilor;
- Actualizarea sistemului de drepturi ale omului;
- Creșterea considerabilă a problematicii securității cibernetice și
calibrarea acesteia pentru a răspunde contextului societății
tehnologizate, în ansamblu.
Necesități de adaptare
Este important să fim conștienți că tehnologia ne împrumută
din caracteristici și din percepția noastră asupra realității în care trăim.
Ceea ce suntem noi se propagă în exteriorul nostru și regăsim din
plin în calitatea vieții noastre, în societate și în mediu.
Să nu ne așteptăm ca tehnologia să ne educe ea pe noi, să ne
corecteze, să ne parcurgă stadii de evoluție sau să își asume
responsabilități care ne revin. Pentru că nu vom obține rezultatele
scontate; ba ne putem trezi chiar că în loc să ne facem bine, creăm
un cerc vicios distructiv, facilitat de externalizarea tehnologică.
Creșterea și corecțiile umane nu se fac din exterior, ci din
interior, prin lucrul cu sinele. Ceea ce nu ne place la noi și la societate,
trebuie să schimbăm pe cale umană, nu prin impunere tehnologică.
Dacă vrem să fim mai buni, trebuie să ne schimbăm noi pe noi, iar
apoi binele se va perpetua de la sine, în spațiul care ne înconjoară.
De altfel, nu putem nici arunca vina pe tehnologie pentru
acțiunile pe care le face. Ea este o oglindire a conținuturilor noastre.
Ca atare, noi suntem responsabili de modelările pe care le face
asupra vieților noastre și asupra mediului înconjurător. Avem nevoie
să ne asumăm responsabilitatea acțiunilor tehnologiei, pentru că ne
revine.
Așadar, avem nevoie să fim cea mai bună variantă a noastră,
atât pentru a ne asigura că ne păstrăm premisele de ascendent
asupra tehnologiei, cât și pentru a permite preluarea de conținuturi
corespunzătoare de către tehnologie. Și, în mod implicit, trebuie să
ne asumăm responsabilitatea atât asupra evoluției noastre umane,
cât și asupra acțiunilor tehnologiei.
---o---
136 / 139
Înțelegerea deplină (și corectă) a vieții ne facilitează judecata
dreaptă. În plus, ne oferă capacitatea de a privi în perspectivă, de a
identifica necesitățile pe care le presupune parcurgerea căii spre
înainte și de a dezvolta cele mai bune soluții pentru îndeplinirea
necesităților evolutive.
Fără pretenția de a fi exhaustivi, enumerăm o serie de
necesități de adaptare (în reluarea sau în completarea celor
enumerate pe parcursul cărții) pe care le putem avea în vedere în
procesul evoluției umane în context tehnologic:
- Anticiparea nevoilor de gestionare a golului creat de perturbarea/
disruperea adusă de digitalizare și tehnologiile emergente;
- Studiul influenței digitalizării și a abundenței informaționale asupra
conștiinței si capacității decizionale umane;
- Dezvoltarea capacității de conștientizare, de înțelegere, de
urmărire, de vigilență, de control, pentru a ne putea păstra
ascendentul asupra propriilor creații/ tehnologii;
- Dezvoltarea de metode/ tehnici/ practici/ conduite de adaptare
permanentă și management al schimbării, în raport cu evoluția
tehnologică;
- Adaptarea necesităților educaționale, în context tehnologic.
Dezvoltarea unei culturi de mentalități de funcționare tehnologică,
dublată de o cultură de securitate cibernetică extinsă.
[Această cunoaștere trebuie să ajungă în funcționarea
subconștientă. Este ca un sistem imunitar: ce ai experimentat este
depășit și înregistrat, învățat; ulterior nu te mai poate atinge,
pentru că dezvolți imunitate. Cultura acționează la nivel
subconștient, folosindu-se de obiceiuri antrenate. Cunoașterea și
înțelegerea devin resurse inconștiente, care sunt valorificate în
mod automat, homeostatic.]
- Pregătirea populației pentru tehnologie;
- Actualizarea conceptuală și a înțelegerii fenomenologice (ex.
balanța criticitate vs. redundanță; evoluția percepției asupra
infrastructurilor critice; abordări democratice în implementarea și
asumarea securității; auditul procedural vs. auditul tehnic de
securitate cibernetică, în procesele de monitorizare a
conformității; diferențierea dintre evenimente, incidente și
investigații în spațiul fizic vs. evenimente, incidente și investigații
cibernetice).
137 / 139
- Dezvoltarea unor instrumente de modelare și simulare (pentru
validare) a conceptelor și procedurilor de implementare.
Dezvoltarea de micro-climate de antrenament și testare, pentru
pregătirea punerii în practică;
- Transpunerea adaptată (nu 1-la-1) a conceptelor din lumea fizică
în lumea virtuală și cibernetic-fizică;
- Dezvoltarea capacității de reglementare adaptată la cerințele de
aplicabilitate și la necesitățile impuse de ritmul evoluției
tehnologice;
- Adaptarea proceselor de organizare, pentru a permite
flexibilitatea și agilitatea necesare evoluției tehnologice;
- Gestionarea responsabilă a armelor cibernetice;
- Îmbunătățirea capacităților decizionale colective;
- Dezvoltarea capacităților decizionale proactive și preventive;
- Dezvoltarea capacităților individuale de gândire critică, analitică și
creativă. Dezvoltarea conștiinței, a cunoașterii, a înțelegerii
fenomenologiei vieții;
- Facilitarea inovării. Consolidarea libertății de expresie,
manifestare și dezvoltare individuală și colectivă. Încurajarea,
susținerea și stimularea antreprenoriatului, ca practică și
mentalitate. Asigurarea condițiilor optime pentru materializarea
potențialului creativ/ productiv uman.
- Facilitarea creșterii și evoluției umane. Respectarea deschiderii și
aspirației spre spiritualitate. Libertatea de gândire și de căutare a
sensului vieții.
- Pregătirea etapei societale în care vor fi valorificate conținuturile
produse individual. Migrarea mentalităților spre asimilarea
modelelor de business distribuite, valorificarea Big Data, transfer
al cunoașterii, servicii sau voluntariat în consultanță/ recomandări
de specialitate;
- Transformarea diplomației, în context tehnologic;
- Scalarea impactului;
- Consolidarea încrederii;
- Eficientizarea algoritmică;
- Dublarea eforturilor pentru menținerea vigilenței asupra
procesului de tranzit generat de actuala revoluție industrială;
- Dezvoltarea de mecanisme anti-fake-news, pentru validarea
veridicității informațiilor;
138 / 139
- Dezvoltarea modularității și interoperabilității;
- Creșterea transparenței;
- Democratizarea accesului la resursele educaționale și de
dezvoltare tehnologică;
- Asigurarea echilibrului între producție, consum, reglementare și
etică;
- Protecția proactivă, refacerea și îmbogățirea naturii. Asigurarea
condițiilor optime de coabitare a omului cu ecosistemul care îi
asigură viața.
Încrederea
Încrederea este vitală pentru evoluție. Este hrana oricărui
proces sau relaționare. Este fundația care permite construcția de
conținuturi. Este adezivul care leagă și permite valorificarea cumulată
a energiei colective.
Încrederea este cheia colaborării inter-umane, care i-a permis
omului să se organizeze în număr mare și să evolueze ca specie.
Permite delegarea de sarcini, extinderea capacității de control în
exteriorul individului și externalizarea conținuturilor umane (în
tehnologie și la nivel de mediu). Generează nevoia de familiaritate
care permite sufletului să se dezghețe și să se manifeste, să se
exprime, să creeze.
---o---
Noi oferim încredere tehnologiei noastre. Este vital. Fără
încredere, tehnologia devine un străin, un dușman, un parazit căruia
nu i-am permite să intre în viețile noastre.
Dacă privim atent la cum evoluează societatea tehnologizată,
descoperim că asimilarea tehnologiei se face ca urmare a solicitării
consumatorilor, ci nu ca impunere din partea guvernelor. (Cel mai bun
exemplu este instaurarea sistemului tehnologic de rating social16, în
China, care nu a fost impus top-down de la guvern, ci a fost solicitat
bottom-up de către populație via tehnologia comercială.) Asimilarea
tehnologiei este o evoluție generată aparent natural de către
16 https://www.wired.com/story/age-of-social-credit/ https://www.wired.co.uk/article/china-social-credit-system-explained
139 / 139
consumatori, dar totuși orchestrată atent de producători, prin
mecanisme de marketing calibrate.
Încrederea este capacitatea noastră de a ne lăsa purtați de
val. Este actul prin care investim cu libertate semenii noștri (și orice
altă vietate cu care interacționăm) și tehnologia. Este fundație pentru
democrație, pentru sănătate, pentru autonomie, pentru inteligența
artificială și pentru orice alte produse ale omului, materiale sau
imateriale, bazale, de organizare sau sensuale.
---o---
Încrederea este libertatea dată de creator creației. Este un act
de recunoaștere și de apreciere, de învestire cu putere, care
generează și perpetuează valoare, conținuturi, creație. Este
capacitatea de a delega o responsabilitate. Cel care primește
încredere, pe de o parte își asumă că poate purta pe umeri povara
primită, și de pe de altă parte se simte onorat că a primit confirmarea
că o poate duce. (Nevoia de a fi apreciat este o nevoie de creație
utilă, o nevoie de a fi util, de a valorifica energia pe care o deții).
În același timp, putem considera credința ca fiind certitudinea
creației cu privire la faptul că al său creator îi oferă resursele și
condițiile propice/ optime de care are nevoie pentru manifestare,
pentru ducere la îndeplinire a scopului și responsabilităților care îi
revin. Credința este capacitatea de a te simți în siguranță. Totodată,
este și o răscumpărare oferită de creație creatorului, un act de
corectitudine și asumare deplină a rolului de implementator/
executant, un act de recunoștință față de încrederea acordată.
Încrederea și credința formează o pereche și se află în relație
de complementaritate. Dacă înțelegem aceste considerente, vom ști
– în termeni filozofici – că noi investim tehnologia cu încredere ca să
ne servească interesele spre binele nostru și al ecosistemului, în timp
ce tehnologia trebuie să acționeze în credință față de noi (creatorii
ei), în semn de recunoștință pentru faptul că i-am dat viață.
140 / 139
Dinamica securității cibernetice. Repere de gestionare holistică
a securității în context tehnologic este o carte care pune în centrul
atenției tehnologia și implicațiile de securitate pe care aceasta le
comportă intrinsec și în relație cu omul (ca dezvoltator și utilizator al
său) și cu mediul înconjurător.
Invită la o analiză de ansamblu a ciclului de viață al tehnologiei - de
când este concepută, pe măsura utilizării sale și până iese din uz -
pentru a înțelege necesitățile individuale și organizaționale de
asigurare a securității cibernetice, precum și nuanțele mai puțin
observate și cunoscute ale influenței pe care tehnologia o aduce
asupra echilibrului ecosistemic.
Pasionat de tehnologie și psihologie, Eugen
Florian POPESCU este un specialist în domeniul
securității cibernetice, care studiază și explorează
procesul de evoluție umană atât din perspectiva
abilităților native, cât și a produselor tehnologice
dezvoltate.
Abordează cu încredere provocări de gândire
strategică, de inovare, de educație, de reglementare și de cooperare
internațională, oferind soluții practice de adaptare a nevoilor
individuale, organizaționale, sociale și de mediu la tendințele impuse
de tehnologiile digitale și emergente.
Lucrările semnate de Eugen Florian POPESCU se încadrează într-
un spectru larg de interese și aplicabilitate, și includ: documente de
strategie, de reglementare și de management, cărți cu conținut
tehnico-științific, cărți de analiză filozofică, precum și materiale cu
conținut artistic.
ISBN 978-973-0-33570-5