John McCarthy: Rețelele de socializare ne pot prezice stările și cum avem de gând să votăm
Datele reprezintă moneda secolului 21. Multe companii au făcut miliarde de dolari din exploatarea datelor noastre. GDPR ne-a dat înapoi dreptul de proprietate asupra datelor noastre și a crescut gradul de conștientizare a importanței lor la nivelul societății.
Așa spune Dr. John McCarthy, reprezentantul British Computer Society și o autoritate în domeniul securității cibernetice.
El este oaspetele asociației CIO Council Romania și invitat de onoare în cadrul CIO Council National Conference, conferința anuală a asociației, din 26 martie. În acest context, a răspuns la câteva întrebări legate de securitatea pe Internet, GDPR, rețele de socializare și rolul Inteligenței Artificiale în societate.
Dacă ne gândim la Stuxnet și la alte atacuri majore de tip APT, ar putea CIO și departamentele IT să-și protejeze companiile de atacuri cibernetice din partea altor state sau entități infracționale? Ar trebui să se bazeze strict pe capacitățile de apărare proprii sau ar trebui ca apărarea cibernetică să includă și alți parteneri externi? Sunt serviciile de securitate cibernetică (Cybersecurity as a Service) o opțiune prin care companiile să se apere de atacuri cibernetice?
În primul rând, cel mai important lucru pe care poți să-l faci este să consulți directiva europeana NIS. Dacă organizația ta face parte din infrastructura critică a unei țări sau dacă faci parte dintr-un ecosistem al unei organizații care face parte dintr-o astfel de infrastructură, atunci vei fi nevoit să aplici normele din directiva NIS. Dacă nu te încadrezi în niciuna dintre aceste două categorii, tot e util să consulți directiva NIS, căci te va ajuta în multe privințe, inclusiv în lucrul cu oamenii, în stabilirea proceselor și tehnologiilor de care ai nevoie. În plus, îți va oferi un cadru pentru a-ți crea procedurile necesare legate de raportarea unor breșe de securitate. Mai mult, vei ști ce să faci și cui să te adresezi dacă vei avea nevoie de ajutor.
Poți să cumperi serviciile de securitate cibernetică? Sigur că da. Externalizarea lor poate fi un lucru util, în anumite cazuri, pentru acoperirea unor nevoi de ordin tehnic. Totuși, nu poți cumpăra o cultură a securității cibernetice; aceasta se dezvoltă în interiorul unei organizații. Prin urmare, trebuie să te asiguri că toți angajații sunt instruiți și știu ce să facă astfel încât să fie protejați de atacurile cibernetice și, pe cale de consecință, să protejeze și compania. Țineți minte: nu vă puteți lepăda de această responsabilitate!
Ce părere aveți despre modul în care sunt percepute amenințările cibernetice la nivelul societății? Oare utilizatorii înțeleg riscurile atunci când navighează pe Internet, folosesc rețelele de socializare sau salvează fișiere pe un USB? Cum putem crește nivelul de conștientizare la nivelul populației, în general, despre atacurile cibernetice?
Lucrurile se schimbă și iată că atacurile cibernetice au ajuns în Marea Britanie pe primul loc în top infracțiunilor. Acest lucru poate fi atribuit unei lipse de ”igienă cibernetică”; adică oamenii nu prea știu cum să folosească sistemele și dispozitivele într-un mod responsabil. Multe organizații au nevoie de instruire pe această temă, întrucât acest lucru poate diminua 80% din toți vectorii de atac cunoscuți.
Libertatea Internetului are efecte dăunătoare ? Ar trebui să restricționăm sau să controlăm cumva activitatea în mediul online?
Nu, cu siguranță nu. Internetul ar trebui să fie gratuit și cât mai deschis cu putință. Merge dincolo de guverne, reglementări și controale – iar ăsta e un lucru bun.
Sunt oare greșite fundamentele Internetului? Lipsa reglementărilor, lipsa conștientizării la nivelul societății, măsurile de securitate insuficiente, problemele de ordin tehnologic…
Fundamentele Internetului nu sunt greșite. Problemele apar atunci când Internetul e folosit în contradicție cu scopul pentru care a fost creat. Internetul este un sistem de comunicare construit pentru a opera în condiții extrem de nefavorabile, nu neapărat pentru comerțul online etc.
Ce părere aveți despre confidențialitatea datelor și protejarea datelor cu caracter personal, având în vedere multitudinea de ”scurgeri de date” din ultimii ani? Vă așteptați ca GDPR să aibă un impact pozitiv în acest sens?
Deja GDPR a avut un impact pozitiv în acest sens. Datele reprezintă moneda secolului 21. Multe companii au făcut miliarde de dolari din exploatarea datelor noastre. GDPR ne-a dat înapoi dreptul de proprietate asupra datelor noastre și a crescut gradul de conștientizare a importanței lor la nivelul societății. Este un regulament neobișnuit, în sensul că îmbină utilizarea datelor cu conformitatea tehnologică.
Profilarea utilizatorilor de Internet pare a fi o activitate realizată atât de companii private, cât și de agenții guvernamentale. Există vreo modalitate prin care ne putem proteja de această practică? Credeți că există, undeva, o bază de date care conține toată activitatea online a utilizatorilor, toate datele despre achizițiile online, toate opiniile exprimate pe Internet și așa mai departe? Sau oare imaginația noastră merge prea departe?
Nu există un singur loc în care să fie adunate toate informațiile despre utilizatorii de Internet la un loc. Ideea este că ne expunem atunci când folosim Internetul. De exemplu, rețelele de socializare pot prezice stările noastre sau cum avem de gând să votăm. Dacă stăm să ne gândim, nimeni nu ne trimite chestionare în care să ne pună întrebări legate de modul în care utilizăm Internetul, pentru că astfel de lucruri se știu deja. Prin urmare, utilizatorii trebui să se comporte având în minte ideea că tot ce facem și postăm pe Internet este public și așa va rămâne pentru totdeauna.
Conferința organizată în România de CIO Council pe 26 martie are ca teme impactul Inteligenței Artificiale pentru companii, securitate cibernetică, educație și inovație. Poate fi folosită Inteligența Artificială pentru a întări securitatea Internetului și măsurile de securitate cibernetică? Hackerii pot folosi AI în atacurile cibernetice?
Inteligența Artificială are o largă aplicabilitate și poate fi folosită în scopuri pozitive sau negative. Asta depinde de modul în care percep lucrurile. Nu există niciun dubiu că AI e folosită atât pentru securitate cibernetică, cât și în atacuri.
Directiva NIS va veni în ajutorul securizării infrastructurii critice a companiilor?
Da, indubitabil. NIS ajută la crearea unei abordări coordonate a securității cibernetice.
De ce avem nevoie de instruire și training-uri în legătură cu Directiva NIS?
În primul rând, pentru a ne alinia la cerințele acestei directive și pentru a evita amenzile! NIS creează câteva provocări pentru cei obligați să respecte cerințele prevăzute acolo. Directiva reprezintă un mix de tehnologie, management de procese, guvernanță corporativă și securitate cibernetică. Trainingurile acreditate vor duce organizația pe cursul corect, evitând totodată plata unor amenzi. În plus, directiva oferă ghidaj celor care au nevoie.
Cum percepeți rolul AI în societate? Ar trebui să ne temem că joburile noastre vor fi preluate de roboți, ca datele noastre nu vor mai fi confidențiale și că vom ajunge la o supradigitalizare?
Fiecare tehnologie nouă ne face să ne punem întrebări de acest gen, iar oamenii s-au temut mereu de inovații. Joburile se schimbă, nu dispar, iar cheia o reprezintă mâna de lucru agilă și cu educație înaltă.
Cei care dețin funcția de CIO și companiile, în general, se plâng de penuria de specialiști pe piața muncii. Cum putem acoperi acest gol? Societatea are o problemă în ceea ce privește pregătirea specialiștilor în IT?
Instituțiile de învățământ au o problemă în a ține pasul cu cererea de pe piața muncii. Avem nevoie de o combinație între traininguri specializate pe zona de IT și educarea în sens larg a oamenilor în legătura cu acest domeniu. Să ne gândim la următorul aspect: Câți dintre noi știau de tehnologia blockchain acum 3 ani? Puțini. Și iată că, acum, cunoștințele în acest domeniu sunt la mare cerere.
Ce mesaj aveți pentru românii care dețin funcția de CIO?
Nu avem cum să știm totul! Transmiterea informațiilor, învățarea continuă și colaborarea sunt pașii necesari pentru a deveni agil în lumea cibernetică.
John McCarthy este o autoritate de renume în ceea ce privește strategia, dezvoltarea și implementarea de securitate cibernetică. Acesta deține un doctorat în domeniul securității cibernetice și al dezvoltării eBusiness și este autorul recunoscut la nivel internațional al mai multor lucrări ce tratează toate aspectele securității cibernetice în lumea modernă.
Este adesea invitat să facă parte din paneluri de experți și să apară ca vorbitor la evenimente renumite din domeniul securității cibernetice. John este și un expert de vârf în instruirea pentru creșterea nivelului de conștientizare în domeniul ingineriei sociale și a celor mai bune practici aferente.