Могут ли компании, государственные учреждения и даже отдельные граждане дорого заплатить за ожидающую нас революцию в области информационных технологий? Как противодействовать возникающим опасностям?
Мы говорим об этом с Джермано Маттеуцци из Отдел кибербезопасности Леонардо Спа.
Кибербезопасность может казаться отдаленной проблемой для пользователей ПК, телефонов, детекторов GPS, электронной почты, социальных сетей и сетей. Тем не менее, наша повседневная жизнь, наша обновленная, легко и быстро компьютеризированная социальная жизнь подвергает нас новым и более сложным уязвимостям. Каковы основные риски гиперсвязанного общества?
К сожалению, кибербезопасность наших данных отнюдь не отдаленная, но очень актуальная проблема. Именно этого осознания не хватает для решения проблемы в корне, очевидно, начиная с институтов. Мгновенное распространение информации в сети означает, что опасности также мгновенны, и это вызывает системную неподготовленность для пользователей сети, которые не могут защитить себя. Точно так же, как когда вы едете на мотоцикле в молодости, вождение сначала безрассудно, затем осознание риска заставляет нас изменить свое отношение.
Многие современные компании основывают свой бизнес на информации и знаниях. Это позволяет им создавать продукты и услуги, конкурировать на рынке и быть технологически продвинутыми, чтобы поддерживать свое присутствие на мировом рынке. Существенная разница заключается в том, что, поскольку мы пережили волну цифровой трансформации, эта информация, будь то патенты, проекты, интеллектуальная собственность или что-то еще, неясно, где она хранится. Вернее, они хранятся и доступны в большем количестве мест и большему количеству людей. И поэтому они менее защищены. Многие компании, внедряющие цифровизацию, приходят к переменам неподготовленными (потому что темпы очень жесткие) и часто допускают ошибки, которые необратимо ставят под угрозу их конкурентоспособность.
Подумайте только, сколько компаний, например, перевели свою инфраструктуру в облако, думая об экономии денег, а затем потеряли свою базу знаний из-за простых технических ошибок.
В отношении государственных учреждений тот же аргумент применим только к тому, что эта информация в основном касается нас, граждан, поэтому стратегические и тактические ошибки при оцифровке учреждений в основном затрагивают нас, у которых уже есть проблемы с управлением нашей частной информацией.
Это кажется тривиальным, но наиболее эффективной защитой является понимание истинной ценности информации для ее владельцев и моделирование того, что может произойти в случае ее утери, раскрытия или компрометации. Таким образом, первое правило состоит в том, чтобы понять, что происходит, если информация подвергается риску, и если этот риск материализуется, с учетом соответствия нормативам среди рисков. Вот почему рынок ценных бумаг в основном делится на две большие области деятельности: техническую / юридическую и в основном операционную.
Что касается мошенничества, кражи данных, атак программ-вымогателей, а также кибершпионажа и атак на критически важные инфраструктуры, какие индикаторы мы должны наблюдать, чтобы понять, атакованы ли мы? Есть ли у страны возможность анализировать кибератаки, реагировать на них и управлять ими? Какую роль играет тестирование на проникновение?
Действительно сложно понять, подвергается ли наша информация атаке и как, особенно когда злоумышленник кровно заинтересован в том, чтобы не дать нам знать. Были обнаружены наиболее важные случаи кибершпионажа, связанные не столько с защитными возможностями жертв, сколько с ошибками в управлении кибероружием и с потерей их контроля злоумышленниками, см. Пример для всех stuxnet. Атаки программ-вымогателей сразу проявляются в своей разрушительной способности, но они наименее опасны в сценарии шпионажа. Актеры в игре определяют цель атаки, поэтому разрушительная атака происходит быстро и не имеет явных признаков. Шпионские атаки длятся с течением времени и, как правило, беззвучны. Также верно, что рано или поздно данные должны быть извлечены в сценарии шпионажа, и поддержание связи с внешними объектами под контролем может дать правильные показания, а также обнаружить слабые аномалии в данных производительности машин, в сетевом трафике или другом. Под угрозой находятся все объекты, в первую очередь критически важные инфраструктуры, которые, как правило, также имеют другие проблемы, связанные с устареванием их систем ИКТ, что увеличивает риски в сценарии гиперподключения.
За последние 5 лет, в том числе благодаря поддержке европейских институтов, страна сделала много шагов вперед в направлении осознания киберрисков, контраста атак и реагирования на них. Подумайте только о Национальной структуре, правительственной организации по киберзащите, CSIRT Италии, реализации директивы NIS, GDPR, национальном киберпериметре, минимальных мерах безопасности Agid и многом другом. Мы на правильном пути, но должны поторопиться, потому что в киберпространстве фактор времени является фундаментальным, а временные масштабы резко сокращаются.
Однако при этом важно осознавать, что наши инфраструктуры уязвимы и, следовательно, подвержены риску, но также могут быть скомпрометированы, потому что это дает нам свидетельство уверенности в том, что возможная атака будет успешной. Это основная причина, по которой рынок тестеров на проникновение все еще процветает, поскольку они предоставляют доказательства уязвимостей, которые в противном случае остались бы в значительной степени в отчете. И, что еще более важно, они позволяют выделить целый набор уязвимостей, которые часто даже не заканчиваются отношениями, а именно человеческими и социальными.
Каталогизация угроз, злоумышленников и мотивов любого рода. Как использовать искусственный интеллект? Способен ли искусственный интеллект агрегировать эти данные в соответствии с потребностями аналитика?
Применение математических моделей, которые позволяют изучать явления и поведения, а также все модели искусственного интеллекта, основано на применении человеческого интеллекта. Не желая беспокоить Азимова и робототехнику, что также очень часто используется, когда мы говорим о кибернетике, само название происходит от использования этого термина в романах о киберпанке, одна вещь - ИИ применяется к огромному количеству данных, и это он основан на математических моделях для прогнозного исследования явлений и закономерностей, другой - на самосознании машин, каким мы его видим в фильмах и находим в романах, поиске человечества во всех смыслах.
Для первого мы уже работаем над этим, и, безусловно, математика поможет нам иметь возможность визуализировать, агрегировать и представлять анализ данных, чтобы между ними возникали отношения, которые на первый взгляд мы не можем видеть, для второго, даже если в поле кибербезопасности уже существуют реактивные и искусственные модели поведения, нам, вероятно, придется долго ждать.
В этом первом сценарии ИИ в своих приложениях машинного обучения и глубокого обучения с использованием алгоритмов, основанных на нейронных сетях, может анализировать этот большой объем данных и представлять их в читаемом формате аналитику, который затем может принимать решения, работая с сокращенным набором информации. и анализируемый для человеческого разума. AI также может предлагать людям действия, основанные на его базе знаний, связанные с его алгоритмами обучения и доступными данными, действия, которые необходимо проанализировать, прежде чем оценивать их применимость. И эффективность или применимость этих действий всегда зависит от качества и количества данных, которые мы предоставляем. Я не хотел бы давать слишком антропоцентрический взгляд на проблему, но пока ИИ все еще поддерживает человеческий интеллект.
Наряду с дипломатией и разведкой решающее значение приобрела необходимость развития возможностей киберзащиты и атак. Различные международные субъекты осуществляют настоящие кибератаки, чтобы получить информацию и избежать репрессалий, также благодаря известным трудностям установления авторства. Иногда кажется, что все доказательства таких атак указывают на одну страну, но возможно ли, что улики оставлены с намерением возложить вину на вражескую страну?
Приписывание ответственности за атаки в киберпространстве на самом деле очень сложно, если не почти всегда. Все происходит в очень короткие сроки, нет естественных барьеров, препятствующих определенным действиям, нет эффективных средств защиты цифровых активов, часто нет предупреждающих знаков.
Именно по этой причине киберпространство является новым фронтом войны, где каждый день сталкиваются друг с другом различные типы субъектов, от национальных правительств или проправительственных организаций до киберпреступников, действующих ради прибыли или дестабилизирующих; сценарии атак радикально меняют свое лицо по сравнению с традиционными, а кибероперации могут проводиться и активироваться внезапно и с очень небольшим количеством предупреждающих знаков. Нет больше сбора армий, доказательств операций или мобилизации на границах государств, траектории ракет, которые необходимо определить, взлета самолетов или отхода кораблей, все подготовительные и разведывательные мероприятия проводятся в тени и анонимно киберпространство, и атаку невозможно обнаружить.
На этом операционном театре идут кибервойны, которые продолжаются годами; Например, Индия и Пакистан сталкиваются друг с другом в киберпространстве уже более 20 лет, Россия и Украина также сталкиваются друг с другом на этом фронте, а Соединенные Штаты, Израиль и Аравия используют кибер-оружие против Ирана (и наоборот), в последнее время мы имеем Китайские операции против других стран, России, Австралии и др.
В списках стран, лучше всего подготовленных к кибератакам, мы всегда находим США, Израиль, а также страны Тихоокеанского региона, помимо России и Китая.
Распределение ответственности за кибератаку - это сложный процесс, выходящий за рамки простой идентификации систем-источников атаки, в том числе потому, что эти системы, возможно, принадлежащие одной стране, сами могли подвергаться атаке и компрометации со стороны другой страны, и поэтому ул. Инструменты и методы атаки в основном анализируются, что часто может привести к нескольким или одному агенту угрозы, и, следовательно, как бы ни было случайно, присвоение операций может быть как минимум рискованным. И, конечно же, да, поскольку эти методы и инструменты известны, возможно, что некоторые атаки выполняются путем имитации того, что они происходят агентами угроз, связанными с другими странами, с единственной целью - возложить на них ответственность за атаку. в сценарии кибер-дипломатии, который добавляется к традиционному.
Centro Studi Esercito уже давно начал исследование кибер-возможностей итальянской армии и вовлекает в свою работу учреждения и компании. Леонардо - неотъемлемая часть группы. Какую роль мог бы сыграть Леонардо в мировой модели обнаружение и ответ желанный CSE?
Леонардо - исторический партнер защиты во всех секторах, не в последнюю очередь в кибербезопасности. Я помню первые киберпрограммы, CERT армии и возможности киберзащиты на основе структуры НАТО тогдашнего C4D, относящиеся к 2010 году, о которых мы сейчас говорим почти 10 лет назад, с которыми были реализованы первые возможности обнаружения и реагирования, с все последующие эволюции, вплоть до реализации полной операционной способности и реализации возможностей в рамках CIOC для планирования и проведения операций в новом киберсфере. Подразделение кибербезопасности также сотрудничало с вооруженными силами в создании важных кибербезопасностей, особенно с армией и флотом. Леонардо также достиг полной операционной способности НАТО, внедрив NCIRC, Центр реагирования на компьютерные инциденты для всех офисов и стран НАТО.
Тем не менее, Леонардо играет важную роль на итальянском рынке кибербезопасности, а также в гражданском секторе, в основном в государственном секторе, где ему было присуждено соглашение CONSIP SPC Cloud Lot 2 - рамочное соглашение по безопасности, в рамках которого всем предоставляются управляемые услуги безопасности и профессиональные услуги. центральные и местные публичные администрации, которые его запрашивают. Он также присутствует в частном секторе критических инфраструктур и крупных предприятий, где Леонардо предоставляет услуги крупным компаниям в нефтегазовом, энергетическом, коммунальном и транспортном секторах.
В последние годы Леонардо вложил значительные средства в разработки, связанные с анализом угроз в киберпространстве, приобретя собственные разработанные внутри компании технологические инструменты для исследования и анализа в Интернете с использованием парадигмы OSInt (Open Source Intelligence). Кроме того, Центр управления безопасностью Леонардо, действующий с 2007 года, один из первых итальянских поставщиков услуг управляемой безопасности на рынке, предоставляет разведывательные услуги через эту платформу в полной синергии с более традиционными услугами кибербезопасности. В области безопасности связи Леонардо исторически работал и предоставлял продукты и услуги как в области шифрования для секретной информации, так и в области профессиональной защищенной связи, используемой правоохранительными органами и службами экстренной помощи. И последнее, но не менее важное: Leonardo является полностью итальянской компанией, принадлежащей государству, что ставит его в особо привилегированное положение, чтобы быть опорным лицом итальянской кибербезопасности на военных и гражданских рынках.
Если для операций в киберсреде преобладающую роль должен играть недавно созданный COR, верно, что каждая вооруженная сила, следуя концепции Network Enabled Capability (NEC), должна расширять свои возможности с помощью кибер-инструментов для поддержки традиционных операций. , Следовательно, не чисто кибероперации, а кибертехнологии для поддержки операций в традиционных областях.
Таким образом, Леонардо может предоставить армии, а также другим вооруженным силам все возможности и знания, относящиеся к безопасности, полученные за последние годы в военной и гражданской областях, и поддержать его в приобретении тех кибер-возможностей, которые еще не полностью реализованы.
