Dragoș C.-L. PREDA, Director General RADIOCOM: “O nouă viziune la RADIOCOM – Diplomația cibernetică – construirea rezilienței prin transformare digitală: XAAS și QKD – încredere și securitate ca serviciu (SECaaS & Trust as a Service) ”

Să recunoaștem, întreaga noastră economie și infrastructură digitală gravitează în jurul unui singur lucru: încrederea. Avem încredere că sistemele noastre vor răspunde atunci când avem nevoie de ele. Avem încredere că serviciile și API-urile vor fi sigure, bine testate și disponibile atunci când sunt operate în propriile noastre aplicații. Avem încredere că datele care vin în sistemele noastre de analiză sunt datele corecte și că sunt exacte. Avem încredere că furnizorii de cloud operează continuu, conform celor mai bune practici pentru a ne menține datele și tranzacțiile în siguranță. Avem încredere că furnizorii noștri iau decizii de afaceri corecte.

Paradigma Trust as a Service depășește cu mult soluțiile tehnologice cum ar fi firewall-urile, protecția împotriva programelor malware, Managementul evenimentelor și informațiilor de securitate (SIEM), Prevenirea pierderii datelor (DLP), Managementul accesului la identitate (IAM), securitatea aplicațiilor și a dispozitivelor, deși acestea sunt importante.

Securitatea nu se referă la securizarea activelor, ci la crearea de active de încredere care pot fi valorificate pe piață. Întreprinderile transformate digital, consumatorii adaptați acestei lumi digitale, într-o economie digitală, au nevoie, mai mult ca niciodată, să-și construiască afacerea fundamentată pe elementul de încredere.

Întreprinderile de astăzi se confruntă cu riscuri atât pentru activele lor interne, cât și pentru cel mai mare activ al lor, clienții lor. Hackurile și furtul de date – în special datele personale ale consumatorilor – ruinează experiența clientului și scad nivelul de încredere.

Totodată, în noua abordare a RADIOCOM avem în vedere colaborări, tot în sensul abordării CaaS, a soluțiilor Security as a service (SECaaS), și anume, gestionarea externalizată a securității afacerii către un contractant terț. Deși, un abonament de securitate cibernetică poate părea ciudat, nu este mult diferit de plata pentru licența antivirus. Diferența este că SECaaS este o combinație a multor produse de securitate împachetate într-un singur serviciu central. Gama de servicii de securitate oferite este vastă și coboară la un nivel granular. Exemplele variază de la filtrarea simplă a SPAM pentru e-mail, până la antivirus găzduit în cloud, scanarea automată a vulnerabilităților de la distanță, back-up gestionat, sisteme de continuitate a afacerii și DR bazate pe cloud și sisteme MFA bazate pe cloud. Serviciile sunt fie livrate direct de la furnizorul de unde cel care re-vinde, fie sunt livrate de la firme specializate care au abilitățile interne capabile să construiască, să integreze și să gestioneze servicii de securitate specializate pentru clienții lor.

Doar o notă aici: sa nu confundam SaaS (software ca serviciu). Acest lucru este diferit de SECaaS.

Așa cum afirmasem și în ultimele declarații RADIOCOM își propune parcurgerea unui nou ciclu evolutiv de 5 ani, aferent perioadei 2021-2025, în baza unui cadru strategic general care să ofere o viziune pe termen scurt, mediu și lung – până în 2030/2035. Scopul principal este de a defini o nouă orientare strategică a RADIOCOM, astfel încât provocările viitorului să poată fi depășite, iar obiectivele strategice să poată fi îndeplinite cu succes. În vederea realizării obiectivelor strategice, RADIOCOM trebuie să desfăşoare un ansamblu de activităţi şi acţiuni.

Totodată, ca răspuns la amenințările sus-amintite, entitățile interesate s-au orientat către ideea de „norme cibernetice” – așteptări privind un comportament adecvat în spațiul cibernetic – pentru a reglementa comportamentul statelor și a limita daunele cauzate de activitatea cibernetică rău intenționată. Pentru a dezvolta și răspândi aceste norme cibernetice, diverse state și entități non-statale interesate au promovat diferite procese, inclusiv în contexte multilaterale, private, industriale.

Așa a apărut diplomația normativă multilaterală care implică eforturile statelor de a elabora norme cibernetice. Cele mai importante eforturi au loc sub auspiciile Primului Comitet al Adunării Generale a ONU. Eforturile anterioare de identificare și operaționalizare a normelor cibernetice continuă și astăzi în cadrul unui nou GGE al ONU privind evoluțiile în domeniul informației și telecomunicațiilor în contextul securității internaționale. Alte organizații au încercat, în plus, să stimuleze procese multilaterale proprii, cum ar fi Organizația de Cooperare de la Shanghai, G7 și G20.

Procesele normative private implică grupări de experți de profil înalt din medii diverse care studiază și oferă recomandări privind normele cibernetice pentru state sau entități non-statale. Câteva exemple din această dimensiune de cooperare de ordin normativ ar fi Comisia Bildt (în mod oficial Comisia Globală pentru Guvernarea Internetului) care a marcat una din primele procese de analiza normativă privind securitatea datelor. Comisia Globală pentru Stabilitatea spațiului cibernetic și Inițiativa de politică cibernetică a lui Carnegie participă mai recent în această categorie de procese normative.

Procesele normative axate pe industrie implică eforturile acesteia de a identifica norme în ceea ce privește securitatea cibernetică. Cele mai proeminente două exemple de acest fel în prezent sunt Acordul privind tehnologia de securitate-cibernetică, inițiat de Microsoft și Carta încrederii, demers condus de Siemens.

Procesele normative reunesc și entități din diverse medii în cadrul unor forumuri incluzive care reunesc state, organizații internaționale, industrie, societate civilă sau mediul academic, generând oportunitatea dezbaterilor, identificarea sau promovarea unor norme deja experimentate. Uneori, aceste procese se concentrează asupra normelor cibernetice în mod indirect, fie pentru că procesul este pur și simplu un forum de dialog (de exemplu, așa-numitul Proces de la Londra sau Forumul de Guvernare a Internetului), fie pentru că misiunea sa este legată de elaborarea de norme (de exemplu, Forumul global pentru expertiză cibernetică). În alte cazuri, totuși, procesele cu mai multe părți interesate au militat în mod deschis pentru norme, fie pentru toate părțile interesate, fie pentru anumite subgrupuri. Inițiativa NETmundial a făcut acest lucru cu accent pe guvernarea internetului, Apelul de la Paris s-a concentrat în mod special pe încredere și securitate, iar Apelul Christchurch a căutat să coordoneze așteptările normative referitoare la conținutul extremist, violent din mediul online.

Conceptul de securitate a infrastructurii include nu numai protecție împotriva unui atac cibernetic tradițional, ci și protecție împotriva dezastrelor naturale și a altor calamități.

De asemenea, se referă la tema rezilienței, care ia în considerare modul în care o întreprindere își revine după un atac sau altă întrerupere.

Scopul final este de a spori măsurile de securitate și de a minimiza timpul de nefuncționare și uzura asociată a clienților, pierderea mărcii și a reputației și costurile de conformitate cu care se confruntă companiile.

În mod fundamental, securitatea infrastructurii descrie un mod la nivel înalt de a gândi protecția întregului perimetru tehnologic al organizației. Mai multe planuri tactice de securitate – (de exemplu, cum vom proteja datele de pe laptopurile angajațiilor noștri?) – pot fi dezvoltate ca subseturi sub această strategie globală.

Nu există o definiție universală a diferitelor niveluri sau categorii de securitate a infrastructurii, dar într-o întreprindere, o modalitate obișnuită de a privi securitatea include securizarea următoarelor patru niveluri: Nivel fizic / Nivelul rețelei / Nivelul aplicației / Nivelul datelor.

Astăzi, datele sensibile sunt de obicei criptate și apoi trimise prin cabluri de fibră optică și alte canale împreună cu „cheile” digitale necesare pentru a decoda informațiile.

Datele și cheile sunt trimise ca biți clasici – un flux de impulsuri electrice sau optice reprezentând 1s și 0s. Și acest lucru le face vulnerabile. Hackerii pot citi și copia biți în tranzit fără a lăsa urme.

Comunicarea cuantică profită de legile fizicii cuantice pentru a proteja datele. Aceste legi permit particulelor – de obicei fotoni de lumină pentru transmiterea datelor de-a lungul cablurilor optice – să capete o stare de suprapunere, ceea ce înseamnă că pot reprezenta mai multe combinații de 1 și 0 simultan. Particulele sunt cunoscute ca biți cuantici sau qubiți.

Frumusețea qubiților din perspectiva securității cibernetice este că, dacă un hacker încearcă să-i observe în tranzit, starea lor cuantică super-fragilă „se prăbușește” fie la 1, fie la 0. Aceasta înseamnă că un hacker nu poate modifica qubiții fără a lăsa în urmă un semn revelator al activității.

Unele companii au profitat de această proprietate pentru a crea rețele de transmitere a datelor extrem de sensibile bazate pe un proces numit distribuție de chei cuantice sau QKD. În teorie, cel puțin, aceste rețele sunt ultrasecurizate.

QKD implică trimiterea de date criptate ca biți clasici prin rețele, în timp ce cheile pentru decriptarea informațiilor sunt codificate și transmise într-o stare cuantică folosind qubiți.

Au fost dezvoltate diverse abordări sau protocoale pentru implementarea QKD. Unul folosit pe scară largă cunoscut sub numele de BB84 funcționează pe acest pattern.

Începem deja să vedem că apar mai multe rețele QKD. Cea mai lungă este în China, care se mândrește cu o legătură terestră de 2.032 de kilometri (1.263 de mile), între Beijing și Shanghai. Băncile și alte companii financiare folosesc deja QKD pentru a transmite date.

În SUA, un startup numit Quantum Xchange a încheiat un acord care îi oferă acces la 500 de mile (805 de kilometri) de cablu de fibră optică care circulă de-a lungul Coastei de Est pentru a crea o rețea QKD. Etapa inițială va lega Manhattan de New Jersey, unde multe bănci au centre mari de date.