Serviciul spune că ansamblul complex de măsuri proactive și reactive este pus în practică prin Centrul Operațional de Răspuns la Incidente de Securitate (CORIS-STS), care este entitatea de tip CERT a STS desemnată să prevină și să răspundă la incidente de securitate care afectează funcționarea sistemelor informatice și de comunicații ale STS și ale beneficiarilor noștri.

Comunicatul integral al STS

De la sfârșitul lunii aprilie suntem martorii unor atacuri cibernetice fără precedent la nivel mondial. Am constatat o intensificare a acestora ca număr, volum și complexitate. Ținta: serviciile expuse în mediul internet. Numărul: de ordinul miilor. Complexitatea? Specialiștii STS au făcut o analiză pe care au împărtășit-o și celorlalte entități de tip CERT de la nivelul Directoratului Național de Securitate Cibernetică (DNSC) și din Sistemul Național de Apărare, Ordine Publică și Securitate Națională (SNAOPSN).

Scopul atacurilor de tip DDoS (Distributed Denial of Service) identificate a fost acela de a întrerupe accesul public la site-urile web ale celor mai importante instituții din România, motivație regăsită la același tip de atacuri executate și în alte țări. Aceste atacuri cibernetice sunt realizate, de regulă, de către atacatori cu acces la resurse sofisticate, prin folosirea surselor multiple de agresiune pentru a perturba funcționarea normală a serviciilor informatice care susțin funcțiile unui stat. Prin blocarea accesului la informații oficiale și întreruperea relaționării rapide și eficiente cu instituțiile statului, efectul urmărit prin aceste operațiuni cibernetice este crearea confuziei și panicii în rândul cetățenilor, dar mai ales a neîncrederii în capacitatea autorităților de a oferi protecție.

Intensificarea atacurilor cibernetice era de așteptat, ținând cont de actualul context de securitate din regiune, însă atacurile în sine nu au reprezentat o surpriză pentru Serviciul de Telecomunicații Speciale, întrucât instituția dispune de mecanismele și expertiza necesare pentru a identifica și contracara acest tip de agresiuni în mod eficient. De altfel, CORIS-STS s-a mai confruntat cu astfel de atacuri și în trecut, iar limitele au rămas gestionabile datorită activităților întreprinse atât prin mecanisme automatizate, cât și prin măsuri în timp real.

În cazul unui atac cibernetic, deciziile și măsurile luate într-un timp extrem de scurt sunt esențiale, iar atunci când echipele de administrare tehnică și cele de securitate cibernetică depun un efort conjugat, lanțul de decizie și de răspuns este extrem de scurt și cu impact imediat. Activitățile întreprinse pentru asigurarea securității cibernetice corelează o gamă largă de măsuri defensive, atât la nivelul infrastructurii de comunicații, cât și la nivelul sistemelor de operare și al aplicațiilor informatice găzduite.

Măsuri reactive adoptate de specialiștii CORIS-STS în cazul atacurilor DDoS derulate de gruparea Killnet:

* Identificarea surselor de atac;

* Minimizarea efectelor și restabilirea funcționalităților website-urilor afectate;

* Blocarea (temporară) a traficului din exterior (GEO Fencing);

* Instalarea echipamentelor și implementarea soluțiilor suplimentare de protecție;

* Partajarea operativă a informațiilor cu DNSC și cu instituțiile din sistemul național de apărare, ordine publică și securitate națională;

* Organizarea în echipe multidisciplinare, 24 de ore din 24, 7 zile din 7, și colaborarea foarte bună cu specialiștii IT din instituțiile publice vizate de atacuri.

Experții STS în securitate cibernetică și administratorii tehnici au monitorizat constant și au reacționat rapid la toate evenimentele de securitate înregistrate, iar în funcție de necesitate, li s-au alăturat experți în comunicații, în administrarea sistemelor de operare și aplicații ori în furnizarea serviciilor de Internet.

Beneficiind de o înaltă pregătire profesională, atestată prin parcurgerea a numeroase module și cursuri certificate, inginerii STS au analizat tacticile, tehnicile și procedurile utilizate de gruparea Killnet în cursul atacurilor cibernetice pentru a identifica noi soluții de protecție la nivelul sistemelor și serviciilor informatice atacate și le-au transmis, în cel mai scurt timp, către administratorii tehnici și specialiștii IT ai instituțiilor beneficiare sau către celelalte entități de tip CERT, aplicând principiul potrivit căruia securitatea cibernetică trebuie să fie rezultatul unei cooperări interinstituționale între mai multe categorii de experți.

CORIS-STS va desfășura în continuare măsuri proactive și reactive de tip defensiv pentru protecția infrastructurilor cibernetice aflate în administrare, precum și pentru asigurarea unui nivel adecvat de securitate pentru serviciile de telecomunicații speciale furnizate beneficiarilor.

Din experiența recentelor atacuri cibernetice, s-au desprins câteva lecții pentru mediul guvernamental, fiind identificate o serie de aspecte care trebuie avute în vedere în pregătirea generală pentru prevenirea și contracararea amenințărilor de securitate, astfel:

* necesitatea creșterii expertizei în securitate cibernetică la nivelul administratorilor de sisteme IT din administrația publică;

* necesitatea cooperării și schimbului permanent și rapid de informații la nivelul entităților de tip CSIRT/SOC (Computer Security Incident Response Teams/Security Operations Centers);

* nevoia de reanalizare a investițiilor în consolidarea securității cibernetice (echipamente IT și soluții noi de securitate);

* găsirea unor soluții fezabile pentru salarizarea specialiștilor tehnici IT/Sec din sectorul public;

* este imposibil ca o singură entitate să asigure securitatea cibernetică pentru sistemele informatice ale statului.

Ce putem face împreună, entitățile de tip CERT și instituțiile guvernamentale, pentru asigurarea securității cibernetice?În primul rând, să fim vigilenți și pregătiți, respectiv să deținem know-how și să diseminăm oportun date și informații relevante către toți cei interesați, pentru a avea capacitatea de a anticipa, pe cât posibil, evenimentele de securitate. Mai apoi, să construim apărări dinamice, adaptate noilor forme de atac cibernetic, precum cele care utilizează elemente de inteligență artificială și machine learning.

În același timp, să nu subestimăm sau, din contră, să hiperbolizăm atacurile cibernetice sau capacitatea atacatorilor, admițând faptul că "în cursul unui atac informatic, nimic nu este ceea ce pare a fi" sau "ce nu cunoaștem nu înseamnă că nu există". Astfel de reacții pot conduce foarte lesne spre "confortul" falselor senzații de securitate, cu repercusiuni majore asupra datelor și sistemelor pe care trebuie să le protejăm. Reacția potrivită constă în preocuparea adecvată pentru cunoașterea amenințărilor și riscurilor, inclusiv din perspectiva a ceea ce se numește "insider threat" - adică angajatul, colaboratorul, managerul sau reprezentantul, care, intenționat ori din neglijență, nepricepere sau în lipsa unei culturi de securitate, reprezintă cea mai mare vulnerabilitate a unei organizații și este un pericol care nu trebuie neglijat.

Nu în ultimul rând, un alt aspect foarte important îl reprezintă pregătirea temeinică și din timp a viitoarelor generații de specialiști în securitate, aspect față de care conducerea instituției manifestă un interes aparte.

În concluzie, aflăm pe zi ce trece că nu există soluții miraculoase care să asigure 100% disponibilitatea, integritatea și confidențialitatea serviciilor pentru că atacurile cibernetice, precum cele despre care am vorbit, variază în complexitate și intensitate și se adaptează continuu la metodele de contracarare, iar o securitate de tip "bullet-proof" nu poate fi garantată de nimeni.

Ceea ce poate să promită STS este faptul că dispune de expertiză și va întreprinde toate demersurile necesare pentru asigurarea unei reziliențe adecvate a infrastructurilor, rețelelor și serviciilor furnizate. Conectivitatea, interoperabilitatea și măsurile de securitate cibernetică asociate sunt condiții cheie pentru viitorul digital. Și pentru acest lucru resursa umană este vitală și valoroasă, ea cuantificându-se în cunoștințe, inovație, mult efort și dăruire.

Motivarea și perfecționarea specialiștilor reprezintă cheia asigurării securității în orice construcție din domeniul IT&C. Prin mâna și priceperea acestora, sistemele și serviciile sigure și de calitate sunt singura șansă pentru un viitor cu adevărat digital.