Expand your future. Challenge the next 50! Viitorul se construiește în prezent
Pe 7 decembrie a avut loc Conferința „Expand your future. Challenge the next 50!”, organizată de Information Systems Audit and Control Association ( ISACA), de IAPP KnowledgeNet Chapter (IAPP) și de Revista CARIERE la Hotel Caro, București.
Conferința a reunit profesioniști și manageri din domeniul tehnologiei și a prilejuit discuții aprinse și captivante despre securitatea cibernetică, noile tendințe din IT, transformarea digitală a organizațiilor și GDPR.
Altfel spus, a fost o conferință despre viitor și despre cât de important este să-l construim în prezent, în mod activ, participativ și conștient.
Conferința a fost deschisă de Grațiela Măgdălinoiu – Președinte ISACA Romania și de Adrian Munteanu – Președinte IAPP Romania KnowledgeNet Chapter.
În urma evenimentului, Grațiela Măgdălinoiu – Președinte ISACA Romania, a declarat:
„La intrarea în cel de-al 50-lea an, aniversar, al ISACA International, ne-am dorit să sărbătorim împreună cu profesioniștii din întreaga comunitate și ne-am bucurat extrem de mult să-i avem alături de noi pe reprezentanții unor asociații reprezentative în domeniu: IAPP, CIO Council, ISC2, OWASP, INCIR, IAA.
Interacțiunile dintre specialiști (fie că aceștia reprezentau zona de tehnologie, robotică și inteligență artificială, cea legală, de reglementare sau supraveghere) au avut o dinamică excelentă, iar dezbaterile au fost provocatoare și constructive. Implicarea și preocuparea tuturor pentru contextul tehnologic actual și viitor este vizibil semnificativă, iar dorința de a găsi soluții adecvate cadrului existent este comună.”
SESIUNEA 1: Digital Compliance – National, European and industry-specific regulations in cyber security
Din primul panel de discuții au făcut parte:
George Drăgușin – Specialist Securitate Cibernetică, industria financiară, membru ISACA
Cristian Cucu – Secretar de Stat, Secretariatul General al Guvernului, membru ISACA
Dan Tofan – Manager Securitate Cibernetică, SecureWorks
Cătălin Aramă – Director General, CERT-RO
Florin Pană – National Cyberint Center
Panelul a fost moderat de Roxana Albișteanu – Director, Centrul pentru Studii de Justiție și Securitate (CJS)
Roxana Albișteanu a punctat faptul că reglementările și respectarea acestora nu sunt o realitate prea ademenitoare, dacă alegem să le percepem doar ca povară și costuri suplimentare. Dar este important să le privim ca oportunități, soluții și investiții – iar pentru asta uneori este necesară o schimbare de perspectivă. Discuțiile din prima sesiune s-au concentrat pe această repoziționare.
Ce ne așteaptă în anul 2019, din punctul de vedere al securității cibernetice, mai ales în condițiile Președinției României la Consiliul Uniunii Europene?
Florin Pană – National Cyberint Center a semnalat faptul că următoarele șase luni vor fi mai grele, întrucât Președinția Consiliului UE ne va expune unor riscuri mai mari din perspectiva securității cibernetice. „Vom continua să fim ținta atacurilor cibernetice generate de identități statale adverse. Acestea vor fi îndreptate mai ales împotriva instituțiilor sau organizațiilor care vehiculează sau gestionează informații de interes național și cu importanță strategică”, a spus Florin Pană.
Acesta a mai vorbit și despre ransomware și cryptojacking ca forme de pericol și a specificat că amenințările cibernetice sunt motivate financiar și sunt lansate de grupări de criminalitate cibernetică, cu ajutorul unor aplicații APR (Advanced Persistent Threat), aplicații specializate, nedetectabile de către soluțiile antivirus.
Cătălin Aramă – Director General, CERT-RO, crede că anul 2019 va fi important din punct de vedere al oportunităților. Este anul în care în legislația noastră va fi implementată Directiva NIS (Directiva privind securitatea rețelelor și a sistemelor informatice). „Astfel, anul 2019 va fi un an cu multe norme de aplicare, cu multe întâlniri în care comunicarea cu factorii vizați de NIS va fi foarte importantă. Este un pas înainte, care va institui un cadru legal în domeniul securității cibernetice”, a spus Cătălin Aramă.
Cătălin Aramă a menționat că raportul anual privind amenințările și atacurile cibernetice confirmă faptul că numărul acestora (campanii de phishing, de ransomware etc.) se află în creștere. Un factor important este faptul că instrumentele de atac sunt foarte ușor de utilizat, întrucât nu este necesar ca nivelul de cunoștințe al atacatorilor să fie foarte mare.
În acest sens, Cristian Cucu – Secretar de Stat, Secretariatul General al Guvernului, membru ISACA, a semnalat că principalele atacuri sunt cauzate și de faptul că unele instrumente de atac au fost scăpate, voit sau nu, în spațiul public, iar consecințele sunt complexe. Ca simplu observator, Cristian Cucu spune că a remarcat multe știri referitoare la cryptojacking și anticipează și intensificarea atacurilor de timp ransomware. Acesta a punctat faptul că atacatorii se orientează către lanțuri cât mai scurte de monetizare și a sublinit necesitatea măsurilor de securitate care să ne protejeze împotriva atacurilor.
Cristian Cucu a vorbit și despre noile amenințări (biometrie, cloud). Este vorba despre atacuri care testează vulnerabilitățile în transferul datelor în zona de cloud – dincolo de mașini virtuale, în zona de containere, unde sunt foarte puține soluțiile de protecție informatică. În ceea ce privește zona industrială, tehnicile de atac în zona SCADA (Monitorizare, Control și Achiziții de Date) sunt foarte puternice.
Cristian Cucu este convins că agențiile și instituțiile sunt protejate în perioada Președinției Consiliului UE, dar nu cunoaște nivelul de protecție al rețelelor Wi-Fi ale hotelurilor și spațiilor unde vor fi găzduite evenimentele aferente. Acesta consideră că este important ca organizatorii să fie puși în gardă, întrucât veriga umană este cea mai slabă din lanțul tehnologic, prin urmare acolo se va încerca testarea nivelului de securitate.
George Drăgușin – Specialist Securitate Cibernetică, industria financiară, membru ISACA, consideră că noile reglementări sunt o provocare pentru toată lumea și că acestea trebuie să fie eficiente și echilibrate.
Acesta crede că atacurile se vor intensifica, pentru că este mai simplu să plătești un ransomware decât o amendă. Crede că sistemul este matur din punct de vedere al securității cibernetice.
Însă dispozitivele (IoT) cresc vulnerabilitatea la atacuri – în acest sens, sunt monitorizate și atacate dispozitivele unattended (nesupravegheate, nefrecventate) și ne sfătuiește să le monitorizăm și să le actualizăm cel puțin, precum și să achizționăm dispozitive de calitate. Routerul este o țintă și trebuie să fim atenți la cum îl gestionăm.
Directiva NIS – istoric, negocieri, provocări, oportunități, versiunea în legislația națională
Dan Tofan – Manager Securitate Cibernetică, SecureWorks, a spus că istoricul NIS este îndelungat (5-6 ani) și că versiunea inițială includea mult mai multe categorii. Se discută că NIS ar fi cel mai ambițios proiect din lume în materie de securitate cibernetică, de aceea și ridică multe provocări.
Dan Tofan a mai adus în discuție și faptul că, inițial, securitatea cibernetică nu avea prea mult de-a face cu industriile tradiționale (energie, transporturi etc.), lucru care generează multe provocări, pentru că este greu să aduci la același nivel atâtea industrii – unele cu tradiție și proceduri foarte vechi și altele de multă vreme aliniate la ceea ce înseamnă securitate cibernetică.
Cristian Cucu – Secretar de Stat, Secretariatul General al Guvernului, membru ISACA, a semnalat că una dintre provocări este aceea că modificările tehnologice aferente NIS sunt discutate de persoane fără pregătire tehnologică, ceea ce este o provocare.
Cătălin Aramă – Director General, CERT-RO, semnalează faptul că evoluția ciberneticului este spectaculoasă, iar „a nu discuta despre atacurile cibernetice e ca și cum ai locui într-o casă cu o gaură în acoperiș”. Cătălin Aramă consideră că NIS creează un cadru de cooperare la nivel național.
Cei mai mulți operatori de servicii esențiale au caracter și acoperire multinațională. Cadrul unitar de cooperare necesită și prilejuiește stabilirea unei legături de încredere în special între autoritățile ce vor transpune NIS în legislația națională, cât și cu celelalte instituții de autoritate cibernetică și cu operatorii de servicii esențiale din mediul privat. CERT-RO va fi punct unic de contact în caz de incident. „Cadrul este suficient de flexibil și de inteligent pentru a face față schimbărilor rapide, conținutului tehnic și diversității industriilor la care se aplică”, a menționat Cătălin Aramă.
Gradul de reglementare al industriilor este diferit. Colaborarea cu industriile pentru ca cerințele legislative să fie adaptate realității existente în piață
„Chiar Directiva face lumină în zona asta”, spune Cătălin Aramă – Director General, CERT-RO, „încurajând statele membre să adopte standardele în măsura în care acestea există și sunt utilizate în industria respectivă. Reglementările vor fi aplicate fără a impune o anumită tehnologie și fără a discrimina o anumită tehnologie. Fiecare stat membru are dreptul să ridice nivelul de securitate în așa fel încât acesta să fie suficient pentru a asigura protecția necesară, în funcție de criterii sectoriale și transectoriale.”
Printre criteriile în funcție de care se vor stabili pragurile pentru operatorii de servicii esențiale, de exemplu, Cătălin Aramă a enumerat: numărul de utilizatori, interdependența dintre sectoare, distribuția geografică, impactul economic pe care-l are disponibilitatea serviciului, măsura în care serviciul poate fi distribuit prin căi alternative sau nu.
Directiva reglementează și componenta de audit și de instruire. Va fi stabilită o modalitate de acreditare a auditorilor și trainer-ilor.
Cătălin Aramă a mai punctat că nu se dorește o complicare a procesului de raportare și că la nivel UE se gândește deja o platformă unică de raportare. În plus, la nivel UE s-a creat un grup de cooperare pentru împărtășirea de bune practici.
George Drăgușin – Specialist Securitate Cibernetică, industria financiară, membru ISACA, consideră că „NIS ne aduce mai aproape de Europa, ne aduce cu un pas în față. Numai că noi am vrea să alergăm înainte să învățăm să mergem. Există un decalaj între unde suntem și unde vrem să fim. Eu cred că trebuie să începem cu pași mici, ca să nu ajungem să creăm o legislație secundară complexă și împovărătoare, ci să arătăm că mergem în direcția corectă și că ne putem adapta și putem crește în timp”. George Drăgușin crede că cel mai important beneficiu al NIS este cadrul de cooperare pe care îl stabilește.
Florin Pană – National Cyberint Center , consideră că platforma va fi de mare ajutor cu privire la controlarea amenințărilor la adresa securității naționale. Cheia este, bineînțeles, cooperarea.
Dan Tofan – Manager Securitate Cibernetică, SecureWorks, crede că cooperarea se bazează nu atât pe o pornire naturală, cât pe un interes comun.
Iar Cristian Cucu – Secretar de Stat, Secretariatul General al Guvernului, membru ISACA, crede că stimulentul nu poate fi oferit din mediul public, ci trebuie identificat de fiecare industrie în parte. „NIS va fi o oportunitate și o provocare, dar va fi un mediu în care se vor putea dezvolta cercurile sectoriale care să înțeleagă mecanismele industriei pe care o vor reprezenta”, spune Cristian Cucu, care a adăugat și că este important ca cooperarea, sharing-ul, să se întâmple în mod natural.
Sunt multe companiile care nu au un sistem de management al securității informatice, care aplică practici nedocumentate, care testează soluții sau care încă nu iau măsuri în această privință. Care ar fi prioritățile pentru domeniul public și pentru cel privat, ținând cont de context (resurse, legislație, etc.)?
Florin Pană – National Cyberint Center, a declarat că „este important ca zona privată să acorde atenție, în primul rând, unor cerințe și politici minime de securitate care să-i vizeze pe toți angajații, pentru ca toți să înțeleagă cât de riscant este să acceseze mail-ul dintr-o zonă necunoscută sau să acceseze date prin dispozitive externe ce pot compromite toată rețeaua”.
Florin Pană a punctat că soluțiile pot fi implementate intern sau pot fi externalizate, prin închiriere. Este necesar să existe o echipă de specialiști care să implementeze și să gestioneze soluțiile, monitorizând traficul și anomaliile și luând măsurile aferente.
Cătălin Aramă – Director General, CERT-RO, crede că este important să fie realizată analiza riscurilor și a consecințelor unui atac și să fie identificate vulnerabilitățile existente, specifice fiecărei organizații în parte. Punctul de referință sunt prioritățile reglementate de NIS.
Cătălin Aramă punctează faptul că obligativitatea respectării NIS este și un avantaj, întrucât atrage după sine accesul la informații importante. Iar cadrul de cooperare stabilit de NIS va fi o oportunitate inclusiv pentru părțile care nu sunt direct vizate de NIS, dar care ar putea fi interesată de aceste informații.
Cristian Cucu – Secretar de Stat, Secretariatul General al Guvernului, membru ISACA, consideră că statul trebuie să creeze un cadru propice pentru respectarea reglementărilor și crede că mediul privat trebuie să solicite sprijin pentru implementare. „Cererile trebuie să vină din patea dvs. – dacă aveți nevoie, solicitați modalitate și mecanisme de finanțare, documentație, know-how, etc.”
George Drăgușin – Specialist Securitate Cibernetică, industria financiară, membru ISACA, rede că este relevant ca mediul public și cel privat să-și înțeleagă reciproc problemele cu care se confruntă. „Ar trebui ca mediul public și cel privat să se întâlnească la o masă, să discute și să găsească soluțiile împreună, mai ales că multe dintre problemele lor sunt comune – cum ar fi lipsa resursei umane”, care adaugă că „e bine să învățăm de la cei care fac lucrurile acestea de mult mai multă vreme decât noi și să nu fim excesiv de ambițioși – să facem lucrurile pas cu pas”.
Securitatea cibernetică, ca posibilă prioritate pentru Președinția Consiliului UE, în perioada în care va fi deținută de România. În ce măsură este posibil ca negocierile în domeniul securității cibernetice să se încheie în această perioadă și care ar fi impactul posibil al acestora asupra companiilor?
Participanții la discuție au punctat că încă se caută o metodă pentru a găsi schemele de certificare care să acopere domeniul securității cibernetice. Provocarea principală în acest sens este ritmul evoluției – în sensul că ritmul update-urilor îl depășește cu mult pe cel al certificărilor respectivelor update-uri. Situația este complicată suplimentar de faptul că sistemele unor industrii sunt proiectate pentru perioade extinse (uneori de 25 de ani), ceea ce face ca acestea să fie dificil de schimbat.
Dar, dincolo de criza de resurse, este foarte clar că timpul de așteptare a expirat și trebuie să fie luate măsurile necesare.
Ce facem în planul educației, pentru a forma și a transmite cultura de securitate cibernetică?
George Drăgușin – Specialist Securitate Cibernetică, industria financiară, membru ISACA, a insistat că este foarte important să fim educați, informați, și să acționăm în consecință nu numai la birou, ci și acasă. „Actualizați-vă sistemul de operare, faceți back-up la ce aveți în computer, supravegheați-vă dispozitivele”.
Cătălin Aramă – Director General, CERT-RO, a punctat faptul că CERT-RO este proactiv, în limita resurselor umane și de timp: elaborează ghiduri (inclusiv în social media), organizează exerciții, workshop-uri. Și crede că este important să se producă o schimbare în procesul educațional, în sensul introducerii de cursuri de securitate cibernetică, inclusiv pentru copii.
Florin Pană – National Cyberint Center, a adăugat că s-a început deja colaborarea cu instituțiile de învățământ (universități, licee) pentru a include securitatea cibernetică în programele de studiu. Dar stadiul este incipient.
Publicul a semnalat faptul că Ministerul Afacerilor Interne este nepregătit pentru a gestiona reclamațiile din zona de securitate cibernetică.
Cristian Cucu – Secretar de Stat, Secretariatul General al Guvernului, membru ISACA, a punctat faptul că MAI nu este reprezentat în cadrul evenimentului și a declarat că Direcția Generală de Combatere a Crimei Organizate dispune de structuri specializate în domeniul securității cibernetice, prin urmare competențele există, dar nu se poate pronunța în ceea ce privește modul în care se prezintă situația la nivel local.
SESIUNEA 2: Enabling business growth through digital transformation – AI/Robotics/Data Visualisation
Digital Transformations and the mid 2060s – Prezentare
Ciprian Stănescu – Fondator Innovations for Tomorrow, ne-a prezentat viitorul – așa cum arată el pe baza tendințelor din prezent. Mega-trendurile sunt, cum bine știm, creșterea și îmbătrânirea populației, accesul larg la tehnologie și la arme, creșterea clasei de mijloc, individual empowerement (n. red. mai mare conștiință de sine) automatizarea industrială, schimbările climatice agresive, crizele alimentare și de apă.
Ciprian Stănescu ne-a vorbit despre prezența, dinamica și impactul pe îl are AI în toate industriile. „Investițiile în Big Data au urcat, dar investițiile în AI s-au triplat”.
Lumea este din ce în ce mai rapidă, dar și mai imprevizibilă. Global Unicorn Club se populează rapid, dar 30-40% dintre companiile respective nu supraviețuiesc sau se transformă.
Clasa de mijloc va crește și va avea nevoi interesante, dar va fi vulnerabilă – atât din cauza tehnologiei, cât și din cauze politice și sociale.
Se vor dezvolta noi modele de afaceri – sharing economy, publicitate inteligentă, shopping bazat pe AI, produse personalizate și micro-manufactură, așa-numita silver economy pentru piața 60+.
Mijlocul anilor 2060 este cam departe, dar putem discuta despre citirea gândurilor, despre telepatie virtuală, quantum computing, FIVR (full immersion vr) etc. Se va ajunge la o întrepătrundere dintre om și tehnologie, care va genera și riscul de bio-hacking.
În principiu, se va trece de la evoluția naturală (înceată și organică) la evoluția bazată pe design inteligent (anorganică și rapidă). Securitatea cibernetică va avea un rol vital.
Din al doilea panel de discuții au făcut parte:
Georgel Gheorghe – Senior Manager, Mazars, membru ISACA
Dragoş Dincă – IT, Coach și Trainer in leadership, Consultant „Digital Transformation“
Ioan Istrate – Chief Commercial Officer, CyBourn
Alexandru Dimescu – Leader, Marsh Risk Consulting Romania
Roxana Bănică – specialist în securitate cibernetică, cloud computing, transformare digitală, orașe inteligente
Panelul a fost moderat de Yugo Neumorni – Președinte CIO Council, care declară următoarele:
„Astăzi, majoritatea organizațiilor operează sisteme de apărare cibernetice convenționale, statice și bazate pe detecție, care sunt considerate depășite. Dar, chiar și dincolo de studiile specialiștilor în securitate cibernetică la care ne raportăm, este unanim recunoscut faptul că organizațiile trebuie să migreze către sisteme cibernetice de apărare de tip „next generation”, bazate pe inteligență artificială, machine learning și alte trenduri din industria IT. De asemenea, atât companiile, cât și societatea în general, trebuie să conștientizeze mult mai bine riscurile cibernetice și să adopte măsuri adecvate de prevenție și de protecție la atacuri cibernetice.”
Transformarea digitală este doar un buzzword sau este un trend obligatoriu pentru companii și cât de pregătit este Board-ul pentru tansformarea digitală a organizației?
Dragoş Dincă – IT, Coach și Trainer in leadership, Consultant „Digital Transformation“, a remarcat faptul că ritmul, amploarea și complexitatea schimbărilor au făcut ca instabilitatea să ia locul stabilității, incertitudinea să ia locul certitudinii și ca nesiguranța să înlocuiască siguranța. „Dacă accelerăm business-ul prin tehnologii și dacă facem asta strategic, într-un mod care să ducă la produse noi, atunci rezultatul este transformarea digitală a businessului. Dacă înainte nevoile se adaptau la tehnologie, acum tehnologia se adaptează nevoilor – s-a produs o schimbare de paradigmă. Ritmul este susținut”, spune Dragoș Dincă, care l-a parafrazat pe Dalai Lama, punctând că „evoluția nu este bună sau rea, ci ESTE”.
Dragoș crede că viitorul nu poate fi prezis, dar poate fi modelat prin participarea noastră.
„Pentru un CIO”, continuă acesta, „transformarea digitală nu este un one-time event, ci o călătorie care nu se termină niciodată și presupune o adaptare continuă. Dacă în 2007, la elaborarea lanului strategic al organizației participau 40% dintre CIO, acum 80% fac asta. Dacă CEO-ul sponsorizează procesul, CIO-ul luminează calea – pentru că la transformarea digitală nu poate fi aplicat tradiționalul ROI, prin urmare CIO-ul trebuie să-i explice CEO-ului cum stau lucrurile și să-i câștige susținerea.
Georgel Gheorghe – Senior Manager, Mazars, membru ISACA, a declarat că, „pentru a rămâne competitive, organizațiile trebuie să privească transformarea digitală ca fiind o investiție. Este un proces complex, care necesită atenție încă de la început. Dar pentru fiecare provocare există soluții – cum ar fi process mining, process optimization sau chiar RPA. Primul pas în acest demers este analiza proceselor și identificarea oportunităților de îmbunătățire și de tratare a riscurilor asociate.”
Georgel Gheorghe crede că este important să nu transformi toată organizația „din prima”, ci să mergi pe o analiză punctuală – realizezi un program pilot de trasnformare, îi verifici funcționarea o perioadă de timp, iar apoi faci analiza completă. Pe baza acesteia, stabilești ce procese să incluzi în noul val de transformare și dacă trebuie să creezi departamente sau funcții noi în cadrul organizației sau dacă preferi să externalizezi serviciile de care ai nevoie, etc.
Așadar, în transformarea digitală se pleacă de la o analiză de risc, peste care este aplicat cadrul de control, indiferent de tehnologia folosită. Analiza detaliată trebuie să fie făcută cu atenție, pentru că pe baza acesteia se stabilesc măsurile de luat pentru realizarea transformării. Procesul este complex, companiile nu le pot face pe toate acestea singure”.
Ioan Istrate – Chief Commercial Officer, CyBourn, care a lucrat în SUA, în consultanță, a declarat că nici în Statele Unite transformarea digitală nu este ușor de făcut, deși bugetele sunt mult mai mari, pentru că „transformarea mamuților industriali este complexă și dificilă”.
Dragoş Dincă – IT, Coach and Trainer in leadership, Consultant „Digital Transformation, a evidențiat că „dacă managementul înseamnă să gestionezi complexitatea, leadershipul înseamnă să generezi simplitate. Board-ul vede problema prin lentilele de cost și din perspectiva respectării normelor și reglementărilor (compliance). Dar standardele se înnoiesc rar sau rămân în urmă. Prin urmare, cea mai bună soluție de compliance, pentru un CIO este implementarea de bune practici (best practices). Directorii din Board ar trebui să fie cât de cât literați din punct de vedere IT, iar aspectul trebuie abordat nu din perspectivă financiară, ci prin best practices”.
Riscul cibernetic și importanța unei culturi de securitate cibernetică la nivel organizațional și în societate
Roxana Bănică – CIO Council, specialist în securitate cibernetică, cloud computing, transformare digitală, orașe inteligente, a adăugat că, din perspectiva riscurilor de securitate, companiile nu vor rămâne singure și a făcut referire la EU Cybersecurity Act. Se va crea un ecosistem, astfel încât managementul riscului nu va rămâne la nivelul instituției.
Alexandru Dimescu – Leader, Marsh Risk Consulting Romania, a făcut referire la raportul anual global “Global Risks 2018“, publicat de organizatia World Economic Forum în colaborare cu MARSH & McLennan Companies, ajuns la a 13-a ediție anul acesta. „Acest raport se dorește a fi o sursă de informație, pentru ca fiecare țară să poată ști ce gândesc liderii acestei lumi. Raportul clasează riscul cibernetic pe locul 4, primele 3 riscuri fiind de mediu. Așadar, riscul cibernetic a ajuns în competiție cu natura”, spune Alexandru Dimescu.
Vorbind despre riscuri, Alexandru Dimescu a punctat faptul că foarte important este apetitul de risc – care se află în creștere. „Pe vremuri, riscant era să treci o stradă pe care circulau care trase de cai. Astăzi, ne punem aripi și zburăm printre munți”, spune Alexandru. Astfel, securitatea cibernetică s-a transformat din castel în apărare în profunzime. Orice tip de atac este uman sau este un mix om + boți. Atacul este întotdeauna targetat, iar dacă ai ajuns să fii ținta unui atac, atunci e bine să știi că once a target, always a target – pentru că informația se tranzacționează. Iar cei care pregătesc un atac dispun de resursele necesare – de timp, bani, răbdare și scop.
„Va trebui să învățăm să facem scenarii, să ne îmbolnăvim de scenarită, deși aceasta este o boală profesională grea. Va trebui să inventăm atacul frigiderelor”, spune Alexandru Dimescu, care punctează faptul că atunci când este vorba depre un atac, de evaluat sunt impactul, gravitatea, probabilitatea de apariție. „Trebuie să identificăm ce ne face atractivi, ca organizație, pentru atacatori și să facem scenaritele astea o dată pe an, ca să vedem dacă avem de-a face cu o alergie, cu un cancer sau cu o pandemie. În funcție de asta, vedem ce măsuri avem de luat”.
La nivel global încă nu există un consens cu privire la măsura în care ar fi etic să „hack the hackers.”
Se estimează ca piața gloablă de risc și de securitate cibernetică (cu toate componentele aferente – asigurări, resurse umane etc.) să ajungă la 6 trilioane de dolari, până în 2025. Iar piața este globală, pentru că furnizarea serviciilor nu este limitată geografic.
„În contextul actual, riscul cibernetic a devenit o prioritate în topul mega-trend-urilor globale. Acest risc trebuie să fie abordat holistic, luându-se în considerare atât tehnologiile avansate, cât și soluțiile de transfer (asigurarea cibernetică fiind noua soluție promovată în piață).
Scenariile de tip “black swans”, cuantificarea riscului cibernetic, campaniile de conștientizare și educare, parteneriatele public-privat și, bineînțeles, misiunile de audit ale sistemelor informatice întregesc gama de instrumente necesare contracarării efectelor acestui risc emergent. Toate aceste soluții sunt disponibile și în România”, declară Alexandru Dimescu.
Ioan Istrate – Chief Commercial Officer, CyBourn, adaugă că atacurile vor fi inițiate de oameni, dar orchestrate de algoritmi. AI poate avea caracter ofensiv sau defensiv. În acest sens, acesta consideră că „este mai scalabil să ai un provider de servicii sau o echipă internă, decât să nu faci nimic în acest sens. Însă, dacă în vest concentrarea mare este pe măsurile preventive, la noi interesul crește la nivel de management comercial. Din fericire, interesul pentru securitate cibernetică este în creștere, chiar dacă organizațiile preferă să externalizeze decât să plătească talente scumpe. Interesul este afectat de costuri.”
Despre noile trenduri din industria IT – precum inteligența artificială sau machine learning
Georgel Gheorghe – Senior Manager, Mazars, membru ISACA, crede că „nu dispărem, ci ne augmentăm. Roboții vin să ne augmenteze – astfel, câștigăm timp pentru a crea valoare adăugată”.
Rolul pozitiv al AI în business se manifestă prin aspecte ca previzionarea stocurilor și a comenzilor, mai buna deservire a clienților, oferirea de pachete integrate – iar toate acestea au drept rezultat creșterea veniturilor. În domeniul bancar, AI poate face o analiză predictivă a unui client în funcție de istoricul acestuia cu banca.
„Trăim în epoca accesului la informație, mai mult decât a deținerii de informație. Important este să folosim resursele cu intenții bune și să dezvoltăm produse care ne aduc valoare”, spune Georgel Gheorghe.
Dragoş Dincă – IT, Coach and Trainer in leadership, Consultant „Digital Transformation, a punctat că „roboții vor prelua joburile în care au avantajul cel mai mare față de oameni, iar oamenii vor păstra muncile în care au dezavantajul cel mai mic față de roboți.” Dragoș s-a declarat a fi un adept al inteligenței colaborative și crede că AI va lucra împreună cu factorul uman. „Oamenii vor antrena AI-ul, iar AI-ul va augmenta factorul uman”, spune Dragoș.
Acesta a mai semnalat că „este greu să convingem lumea să investească în tehnologie și în infrastructură, deși tehnologia, se obsoletizează rapid”. Dar acesta crede că trebuie să ne concentrăm pe oameni, procese și tehnologii și „să le avem pe toate trei în vedere, pentru că hackerii le au”.
În acest sens, Dragoș Dincă consideră că e mai important să ai o strategie bună, decât să ai oameni buni, pentru că prin educație poți aduce omul la nivelul procesului. „Dar învățarea de calitate este posibilă dacă instaurezi un climat de încredere. Pe lângă management informațional, este nevoie de leadership”, semnalează Dragoș, care a mai declarat următoarele:
„Tehnologiile cognitive, pe baza unui plan de dezvoltare judicios, pot să ne introducă într-o eră a poductivității, eficienței și a prosperității.
Transformarea digitală este un proces continuu, prin care organizația își reinventează viitorul. Procesul este constant în timp, nu este un eveniment brusc de tipul “o faci acum sau pierzi totul”. Pentru a avea succes, liderii organizațiilor trebuie să creeze un mediu de încredere și să asigure un nivel ridicat de angajament și suport – atât pentru angajați, cât și pentru clienți. Mai ales pentru aceștia din urmă, încrederea înseamnă securitate și intimitate (privacy) – motiv pentru care abilitatea de a transforma business-ul se sprijină în mod absolut pe eficiența măsurilor și a controalelor aferente acestor două elemente”.
Cu privire la machine learning, Georgel Gheorghe – Senior Manager, Mazars, membru ISACA, a remarcat că, dacă până acum machine learning-ul nu era folosit pentru decizii e business, acum utilizarea acestui instrument este în creștere în procesul de luare a deciziilor sau în procesul de previzionare. Totul se bazează pe un proces de învățare, iar factorul uman este prezent pentru a corecta algoritmul de învățare.
SESIUNEA 3: The journey of GDPR – before and after – what’s next
Data privacy implications for Wi-Fi Tracking & Data breach response – Prezentare
Prezentarea a fost susținută Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, membru IAPP și Radu Huțan – Manager, Deloitte Risk Advisory, membru ISACA.
Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte a vorbit despre implicațiile monitorizării Wi-Fi.
În acest context s-a discutat despre adresa MAC a dispozitivului mobil, care face parte din categoria datelor cu caracter personal și intră sub incidența E-privacy și GDPR. De asemenea, Cristina ne-a vorbit despre semnificația consimțământului și cerințele pe care consimțământul și preluarea acestuia trebuie să le respecte și ne-a prezentat condițiile de prelucrare a datelor personale și măsurile de diminuare a riscului.
Radu Huțan – Manager, Deloitte Risk Advisory, membru ISACA, ne-a prezentat acțiunile pentru gestionarea eficientă a unei încălcări de securitate – pregătire, detectare și analiză, limitare, eradicare și recuperare, îmbunătățire. De asemenea, Radu a detaliat etapele desfășurării unui incident și ne-a explicat ce înseamnă dezvoltarea capacității de a răspunde la incidente.
Așadar, avem capacitatea de a răspunde la incidente dacă:
- Înțelegem cine suntem, ce facem și ne gândim cine ar dori să ne facă rău (“Threat Landscape”)
- Ne informăm cu privire la amenințările relevante și tehnologiile utilizate (“Threat Intelligence”)
- Am implementat măsurile necesare pentru a detecta un incident în desfășurare
- Monitorizăm (ce rost are să avem uneltele dacă nimeni nu le folosește?)
- Avem o echipă de răspuns la incidente (sau știm de la cine putem să cerem ajutor)
- Căutăm activ amenințări (“Threat Hunting”)
Din al treilea panel de discuții au făcut parte:
Bogdan Manolea – expert judiciar în IT&C, Asociația pentru Tehnologie și Internet
Adrian Bucur – Consultant pentru Protecția Datelor, BRD, membru IAPP
Cristina Corbu – Data Protection Steward la Publicis One Romania, membru IAPP
Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, membru IAPP
Panelul a fost moderat de Andreea Lisievici – avocat specializat în protecția datelor, PrivacyOne, membru IAPP
La peste șase luni de la intrarea în vigoare a GDPR, în ce măsură a fost Autoritatea Națională de supraveghere a Prelucrării Datelor cu Caracter Personal activă în vederea susținerii aplicării GDPR?
Bogdan Manolea – expert judiciar în IT&C, Asociația pentru Tehnologie și Internet, consideră că „protecția datelor cu caracter personal este un drept fundamental și face parte din umanitatea noastră”. Acestea fiind zise, acesta consideră că, deocamdată, implementarea GDPR se face încă doar la nivel de teorie și crede că comunitatea de profesioniști din domeniul respectării confidențialității și al intimității (privacy professionals) ar trebui să solicite o autoritate independentă, competentă și activă, pentru ca GDPR să fie aplicat și să-și îndeplinească rolul.
Bogdan Manolea crede că ne putem inspira de la celelalte țări, unele mai avansate în această privință (Belgia, Moldova, Bulgaria) și insistă că „la noi, în România, trebuie să vină un bobârnac din partea profesioniștilor de privacy.
Despre acțiunile colective, în cazurile de încălcare a confidențialității datelor (data breaches) ce afectează un număr mare de persoane
În acest sens, situațiile pot fi multe și diverse, iar sistemul juridic românesc nu este de prea mare ajutor. Este utilă partajarea experienței la nivel de state membre. Se încearcă formarea uni rețele de organizații care să facă posibilă darea în judecată în astfel de situații, dar rămâne de văzut care este legislația favorabilă.
Din perspectiva de consultanță, Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, membru IAPP, a discutat despre Legea 506 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice care reglemenează cum se face marketing – direct sau prin cookies, da cre nu prevede condițiile pentru consimțământ.
Cristina Iacobescu a pus în discuție caracteristicile consimțământului, din perspectivă GDPR, recomandând ca acesta să fie raportat la cerințele GDPR. Consimțământul ante-GDPR nu prea era conform normelor actuale – în sensul că era cumulat și neinformat, dreptul de retragere nu prea era precizat, și nu beneficia de toate pârghiile necesare pentru a fi valabil, pentru că nu fusese liber exprimat – deoarece casetele erau pre-bifate. În plus, înainte, consimțământul nu era documentat corespunzător, iar arhiva aferentă nu era ușor de localizat.
A fost adusă în discuție și Directiva ePrivacy, care va fi înlocuită de ePrivacy Regulation, dar ePrivacy nu este definitivat, este încă în discuții.
Relația dintre operator și persoana împuternicită de operator, în condițiile obligativității de a colabora numai cu împuterniciți care respectă GDPR
Cristina Corbu – Data Protection Steward la Publicis One Romania, membru IAPP, a spus că experiența Împuternicitului este diferită de experiența Operatorului. În principiu, Împuternicitul trebuie să facă numai ceea ce îi cere Operatorul să facă. Dar este o provocare situația în care Împuternicitul știe mai multe despre prelucrarea datelor cu caracter personal decât Operatorul. În acest sens, Cristina a spus că organizația sa se află în permenentă consiliere pentru partenerii săi – ceea ce nu este neapărat rău, pentru că în acest fel părțile ajung să discute detaliat despre subiecte care până acum au fost doar puse pe hârtie. Procesul este benefic pentru toată lumea.
În ceea ce privește anexele de prelucrare de date, Cristina Corbu a specificat că acesta este un proces continuu, care necesită resurse complexe și permanente. „Deși în GDPR se precizează ce trebuie să conțină anexa de prelucrare de date, în practică apar multe variabile. Este o activitate consumatoare de timp și care trebuie să nu fie trcută cu vederea”, spune Cristina Corbu.
Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, consideră că cea mai mare dificultate este calificarea aferentă, pentru că furnizorii de astfel de servicii sunt mulți, dar ca să fii persoană împuternicită sunt multe aspecte de luat în considerare. Atât operatorul de date, cât și persoana împuternicită trebuie să acționeze responsabil în materie de conformitate cu reglementările. Standardul ISO-27001 este un punct de referință în materie de cele mai bune practici. Dar implementarea și adoptarea nu sunt același lucru.
Solicitarea sunei scrisori care să confirme conformitatea unei organizații cu GDPR
Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, ne-a pus că ea nu este adepta practicii de auto-certificare. „Oricine poate emite un document de conformitate GDPR, dar acest document nu este suficient din punct de vedere al cerințelor GDPR. De exemplu, oricât ar fi de compliant persoana împuternicită, asta nu înseamnă că prelucrarea datelor este respectă reglementările GDPR din punctul de vedere al Operatorului, pentru că Operatorul stabilește scopul prelucrării datelor și modul de utilizare a acestora, prin urmare numai Operatorul poate decide dacă activitatea persoanei împuternicite respectă reglementările GDPR aplicabile în cazul Operatorului. Reglementările legale pot fi diferite de la un Operator la altul.
În alte state este posibil să consulți Autoritatea ca să vezi dacă a oferit amenzi unei entități anume. Sau, poți face un test și poți solicita accesul la sistemele persoanei împuternicite pentru o zi, ca să vezi cumeste realizată prelucrarea datelor.
Instruirea Responsabilului cu Protecția Datelor
Responsabilului cu Protecția Datelor este o funcție nouă, apărută pentru că este nevoie de oameni calificați care să îndeplinească acest rol. IPP estimează că, la nivel UE, este nevoie de 74.000 de DPO (Data Protection Officer).
Cristina Corbu – Data Protection Steward la Publicis One Romania, membru IAPP, ne-a împărtășit că ea a preluat acest rol cu un an în urmă. „Impactul noului regulament asupra unui grup de agenții de publicitate este foarte mare. Am avut norocul ca managementul companiei să înțeleagă rapid această schimbare și să decidă că este bine ca acest rol să existe în organizație”, spune Cristina, care crede că, în publicitate, provocarea este că oamenii acceptă greu opiniile venite din afară. În consecință, organizația a optat pentru a alege pentru acest rol o persoană din interior, deja cunoscută colegilor și acceptată de aceștia, care să aibă și avantajul de a cunoaște bine activitatea companiei.
Cristina ne-a împărtășit că principala provocare a fost schimbarea de optică pe care a trebuit să o facă. „La început am studiat, am citit, luni de zile. Am citit tot ce am găsit în materie de opinie și documente publice ale autorităților din alte țări și ale altor consultanți în domeniu. Apoi am intrat în pâine, iar training-ul on the job a fost cel mai bun, pentru că am început să acumulez experiență prin contactul cu situații concrete, cu ajutorul avocaților, fără de care aș fi făcut erori mari. Eu am un cu totul alt background. Dar am învățat să mă uit la un lucru demult cunoscut dintr-o cu totul altă perspectivă și am învățat să pun întrebările corecte”.
Adrian Bucur – Consultant pentru Protecția Datelor, BRD, membru IAPP, găsește fascinantă eaboarea unui program GDPR. „Trebuie să știi business, IT, makerting – trebuie să știi cam tot ce se poate știi, ca să faci un astfel de program”, spune Adrian, care adaugă că, „pe lângă cunoștințele teoretice pe care le-am asimilat, a fost evoie să învăț limbaj legislativ. Să învăț să gândesc în termeni juridici a fost o mare provocare pentru mine, care gândesc în 0 și 1”.
Funcția este prin definiție multidisciplinară indiferent ce background ai avea, nu este suficient.
Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, membru IAPP, a adăugat că este foarte importantă curba învățării (learning curve). „Plurivalența regulamentului necesită expertiză plurivalentă – care înseamnă multă muncă, citit mult, practică multă”.
Cristina a explicat că pe piață există cursuri ce te pot pregăti pentru rolul de Responsabil cu Protecția Datelor, iar avantajul acestora este că îți oferă nu numai informații, ci și mijloace de interpretare și instrumente, cu ajutorul cărora poți înțelege domeniul mai ușor și mai bine.
În ceea ce privește resursele de informație, Bogdan Manolea – expert judiciar în IT&C, Asociația pentru Tehnologie și Internet, recomandă citirea rapoartelor anuale ale autorității, întrucât acestea conțin foarte multe spețe de cazuri care sunt de mare ajutor, chiar dacă sunt anonimizate.
Dar există și multe mituri cu privire la acest rol – de exemplu, nu este nevoie de DPO în orice firmă. Este recomandat să ai sau să exernalizezi acest rol, dar nu se impune în toate cazurile.
Pentru funcția de Responsabil cu Protecția Datelor încă nu există un mecanism de instruire organizat de stat.
Certificarea cursurilor de către ANC credibilizează, dar este necesară?
Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, membru IAPP, a spus că aplicabilitatea standardului nu este clară.
Cultura organizațională din perspectiva unui Data Protection Officer
Cristina Corbu – Data Protection Steward la Publicis One Romania, membru IAPP, spune că provocarea este să-și schimbe modul în care se uită la lucruri, pentru că un detaliu aparent nesemnificativ poate schimba cu totul analiza situației. „Acum se construiesc lucruri și e bine să fie construite, e frumos să construiești”, spune Cristina.
Adrian Bucur – Consultant pentru Protecția Datelor, BRD, membru IAPP, găsește că „e greu să faci ca oamenii să vadă lucrurile altfel. Ei vor mai mult să vopsească gardul ca să fie ei acoperiți, sunt mai puțin interesați de rezultat. Dar dacă încerci să vinzi privacy culture oamenilor, atunci începe rolul tău de a schimba lucrurile. Dar nu este ușor să-i faci pe oameni să facă mai mult decât până acum”.
Cristina Iacobescu – Senior Associate, Reff&Associates | Deloitte Legal, membru IAPP, spune că „trebuie să fii inventiv, să găsești soluții, să înveți. Nu e ușor, dar posibilități există, numai că e nevoie de dedicație și de timp. Trebuie să ai răbdare și să nu le spui oamenilor că nu se poate, ci cum îi poți ajuta”.
A fi DPO sau consultant în materie de protecția datelor presupune să ai talentul și diplomația de a îmbina cunoștințele în așa fel încât rezultatul să respecte legea și să fie util clientului. Un DPO se uită la riscuri nu din punct de vedere business, ci din perspectiva persoanei vizate.
În ceea ce privește conformitatea, Andreea Lisievici – avocat specializat în protecția datelor, PrivacyOne, membru IAPP a specificat că standardele ISO există și sunt bune, mai ales pentru că au deja vechime și sunt internaționale. Dar respectarea ISO nu înseamnă conformitatea cu GDPR. Punctul de referință sunt termenii definiți de GDPR. De exemplu, conceptul de personally identifiable information din ISO este diferit de conceptul de „personal data” specificat de GDPR.
Bogdan Manolea – expert judiciar în IT&C, Asociația pentru Tehnologie și Internet, a adăugat că este excelent că există glosare și alte documente, pentru că acestea sunt o cutmă recunoscută de Codul Civil al României ca una din sursele de drept, pentru că în GDPR există un singur articol care vorbește de securitatea datelor cu caracter personal și nu oferă o listă definitivă și nici explicație cu privire la ce măsuri se pot lua, iar legea lasă partea de securitate a informațiilor la ISO. Dar legea nu ar fi putut să stabilească criterii tehnice valabile pentru toate cazurile, pentru că GDPR se dorește a a avea un caracter neutru din punct de vedere al tehnologiei.
Dar obligativitatea de a ține cont de stadiul actual al dezvoltării tehnologiei este specificată.
În încheiere, vă propunem o temă de gândire:
În timpul discuțiilor, s-a spus „este atât de evident, încât mi-e teamă să nu greșesc” și am fost invitați să fim atenți la faptul că „rezistența la GDPR poate veni, uneori, din subconștient”. Într-adevăr, multe dintre lucrurile evidente, care par perfect argumentate, în realitate au rădăcini și cauze suprinzătoare. Așadar, pentru a fi prezenți în viitor, este important să ne înțelegem mai bine și să acționăm responsabil și atent. În vremuri de atât de rapidă și de profundă schimbare, eficient este leadershipul conștient.
Conferința „Expand your future. Challenge the next 50!” a fost organizată de Information Systems Audit and Control Association ( ISACA), de IAPP KnowledgeNet Chapter (IAPP) și de Revista CARIERE.
Mulţumim partenerilor:
Premium partners: DELOITTE ROMANIA, REFF & ASSOCIATES
Partner: MAZARS
Networking partner: VERA COMP
Connectivity partner: BBTR
Foto credit: Daniel Tolea, Paparatzi Studio, paparatzi.ro