Paula Mantea: Reziliență cibernetică prin educație digitală și security awareness

Reziliență cibernetică prin educație digitală și security awareness
Inovațiile tehnologice, precum răspândirea globală a informației prin intermediul internetului, a creării și implementării de aplicații software capabile să dezvolte inteligență artificială, sunt numai câteva exemple care confirmă faptul că trăim într-o eră a automatizării și digitalizării, și că, prin urmare, vor avea loc o serie de reconfigurări pe scena globală pentru care trebuie să fim pregătiți.Modificările care au loc pe fondul securizării accesului la rețelele digitale, a protecției datelor, mai ales a celor cu caracter personal, și a securității cibernetice, în general, atrag atenția asupra importanței pe care această dimensiune a securității o capătă în asigurarea funcționării infrastructurii critice a statului, analizând numărul tot mai mare de riscuri, amenințări și vulnerabilități din spațiul virtual, caracterizat de universalitatea atacurilor cibernetice (acestea nu se supun niciunui tip de frontieră).

Cybersecurity – Contextul actual de securitate

Pentru a gestiona corect și eficient problematica securității cibernetice este nevoie de înțelegerea corectă a fenomenului, a caracteristicilor și a contextului actual al securității cibernetice, precum și a resurselor și măsurilor necesare educației și formării personalului calificat necesar pentru ca acest sistem să funcționeze și să se dezvolte armonios, asigurând bunăstarea cetățenilor.

Atacurile cibernetice, utilizarea ilicită a resurselor tehnologice și breșele de securitate sunt tot mai numeroase. Evoluțiile tehnologice din ultimele două decade (2009-2019) precum Artificial Intelligence sau Big Data ar putea schimba natura conflictului mult mai mult decât ne-am putea imagina.

Conform rapoartelor ITU Connect 2030, la nivelul anului 2023 peste 70% din populație va fi conectată la internet. În prezent ~4 mld. de persoane sunt prezente în mediul online, iar faptul că indivizii reprezintă ținta numărul unu în spațiul cibernetic, nu ușurează cu nimic responsabilitatea instituțiilor și organismelor cu competențe în securizarea spațiului cibernetic.

România trebuie să depună eforturi în a consolida reziliența la atacurile cibernetice în rândul cetățenilor, cu precădere în rândul tinerilor români aflați în procesul educațional, reprezentanți ai generației de tineri crescuți digital, care își petrec mare parte din timp în spațiul virtual. Ca și beneficiari ai tehnologiilor digitale, tinerii reprezintă viitoarea generație care va trăi în societatea digitală și care trebuie să fie educată și pregătită în spiritul protecției informațiilor în mediul digital și a infrastructurii. România trebuie să dezvolte capabilitățile necesare de contracarare a vulnerabilităților, riscurilor și amenințărilor la adresa securității cibernetice.

În acest sens, remarcăm evoluții pozitive în reglementarea legislativă a acestui domeniu atât la nivel european cât și național; se adoptă în ultimii doi ani strategii și politici de securitate cibernetică de către majoritatea actorilor statali și non-statali, odată cu dezvoltarea cooperării la nivelul organismelor de prevenire și combatere a atacurilor cibernetice.

Conform Agenției Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor (ENISA) s-a înregistrat un succes și în creșterea nivelului de conștientizare în materie de cyber intelligence pe plan european, în urma sesiunilor de training și formare desfășurate în ultimii ani și a interesului manifestat de participanți în dezvoltarea abilităților și competențelor necesare dobândirii calității de expert în securitate cibernetică și pregătirii unui număr cât mai mare de specialiști pentru a ocupa posturile existente pe piața muncii.

Potrivit ENISA Threat Landscape Report 2018, principale evoluții în spațiul cibernetic evidențiază că:

  • mesajele de tip phishing au devenit vectorul principal de infestare;
  • dezvoltarea de abilități și competențe specifice securității cibernetice rămâne focusul principal în cazul organismelor din domeniul cibernetic. Instituțiile publice se confruntă cu probleme mari de retenție a personalului datorită competiției acerbe în industrie în a atrage talente din zona IT&C și cybersecurity;
  • nivelul tehnic al majorității produselor de intelligence din zona cyber este considerat un obstacol în creșterea gradului de conștientizare în rândul echipelor de management executiv și ale managementului din zona de securitate.

Cum ar trebui să răspundă România acestor provocări? Prin investiția în educație, cercetare și formare continuă

Un scut veritabil în strategia de contracarare a atacurilor cibernetice îl reprezintă educația, cercetarea și formarea continuă a populației civile cu scopul creșterii gradului de conștientizare a culturii de securitate, în general, și a securității cibernetice, în mod particular.

În primul rând prin realizarea de investiții în educația și formarea specialiștilor experți în combaterea atacurilor cibernetice, iar pentru aceasta guvernele au la îndemână diverse instrumente elaborate de organizații competente în domeniu, oportunități care trebuie exploatate. Vorbim de resurse educaționale, tehnologice și bune practici oferite de organizații de top din domeniul cibernetic în identificarea modalităților celor mai eficiente de apărare.

Analizând datele publice existente la nivel național dar și internațional, se observă o preocupare crescândă în dezvoltarea unui număr însemnat de măsuri de educare și formare a cetățenilor, precum și de cercetare a domeniului, fapt îmbucurător. Analizând însă numărul tot mai mare de atacuri ce se desfășoară cu succes pe fondul erorii umane, sau voit, cu buna știință a indivizilor implicați, consider că aceste măsuri ar trebui centralizate și îmbunătățite constant, și aplicate cu regularitate în rândul populației, pentru a obține rezultate satisfăcătoare pe termen lung.

Pe lângă SRI, CERT-RO și celelalte instituții ale statului cu competențe în domeniul securității cibernetice, există o serie de inițiative desfășurate de organisme internaționale și companii private de awareness și formare, precum și o gamă largă de surse de informare deschise (portaluri online, cursuri online, tutoriale, cărți și reviste, ghiduri și campanii de informare, publicații sau blog-uri de știri, simpozioane, parteneriate public-privat, workshop-uri, etc.) pe toate canalele de comunicare.

ENISA, NATO, OCDE, OSCE, NTT, IBM, Microsoft, Symantec, Bitdefender, KasperSky, FireEye, și alte astfel de organisme, mediul academic de specialitate, companii de consultanță din domeniu, reprezintă o parte dintre actorii care au preocupări în domeniul securității cibernetice.

În România, în mod concret, SRI în parteneriat cu Ministerul Educației Naționale și companii din mediul privat au colaborat în vederea dezvoltării de programe școlare și programe de studii atât în mediul pre-universitar cât și universitar pe tematica securității cibernetice.

În mai multe centre universitare și licee din țară au rulat aceste programe cu scopul de a dezvolta noțiunile de bază de igienă cibernetică, conștientizarea fenomenelor de criminalitate cibernetică și a riscurilor din mediul online, precum și a fenomenului de cyber-bullying, reprezentat de ”acțiuni de hârțuire cibernetică, respectiv folosirea tehnologiilor informației și comunicațiilor, cum ar fi e-mailul, telefoanele mobile, site-urile web defăimătoare, blog-urile etc. cu scopul de a ataca, în mod deliberat, repetat și ostil un individ sau un grup de indivizi, prezent pe scară largă în rândul populației tinere”.

Un alt element inovativ îl reprezintă crearea unei curricule post-universitare care cuprinde o gamă largă de discipline de securitate cibernetică astfel încât cei care urmează programe de studiu de scurtă durată, respectiv de master, să obțină competențele tehnice necesare specializării și integrării profesionale. În vederea dezvoltării acestor programe de studiu, cu o pronunțată latură practică, la nivelul centrelor universitare, au fost întreprinse demersuri pentru crearea unor laboratoare și centre de cercetare în securitate cibernetică prin accesarea de fonduri de finanțare.

Pe lângă acțiunile desfășurate la nivelul publicului larg, există o serie de inițiative de formare a personalului specializat, necesar pentru a dezvolta măsuri de apărare eficiente și a contracara metodele și mijloacele de atac ale grupărilor de criminalitate informatică sau care derulează activități ce afectează securitatea datelor. Acestea cuprind cursuri clasice, predate în sala de curs, platforme online de training, desfășurarea de conferințe academice și publicarea de materiale științifice, sau organizarea recurentă de exerciții de securitate cibernetică la nivel național, în vederea creșterii vitezei de răspuns în situații de criză și contracararea acțiunilor de criminalitate cibernetică (precum exercițiul CyDEx).

Ce lipsește însă din acest plan de acțiune este:

  • derularea curriculei în întregul sistem de învățământ, în mod centralizat, ajustând nivelul de pregătire pentru fiecare ciclu de învățământ
  • un mod centralizat de a urmări aceste inițiative care să cuprindă autorii inițiativelor, obiectivele activităților, grupul țintă căruia se adresează, rezultatele obținute, lecțiile învățate, bunele practici, etc.
  • în contextul nevoii tot mai mari de a ocupa posturile vacante din domeniul IT&C, România se află în poziția de a dezvolta parteneriate solide cu mediul privat pentru a crește nivelul de cultură de securitate cibernetică și a rezilienței publicului larg la atacurile din spațiul cibernetic

Dezvoltarea și implementarea unei astfel de strategii ar putea ajuta în analiza impactului asupra publicului vizat, s-ar putea observa gradul de reprezentativitate pe plan național pe diverse segmente de populație și ar oferi un cadru de cooperare în materie de conștientizare în rândul populației pentru toți actorii implicați. Aceste eforturi pot și trebuie fructificate în baze de date digitale comune, în care și comunitatea de experți să împărtășească exemple de lecții învățate, materiale educaționale, ghiduri, training-uri, bibliografii, rapoarte, analize sau soluții pe care le-au identificat în contracararea atacurilor cibernetice.

Întrucât securitatea cibernetică se află în responsabilitatea noastră, a tuturor, parte a unei cercetări mai largi pe care o efectuez pe tematica creșterii rezilienței cibernetice în România prin educație digitală și security awareness, vă invit să participați la chestionarul următor:

Percepția tinerilor din România asupra studiului educației digitale ca măsură de creștere a securității cibernetice

Paula Mantea – doctorand ANIM