În contextul pandemiei de Covid-19, la data de 16 martie 2020 a fost emis Decretul nr. 195 din 16 martie 2020 privind instituirea stării de urgenţă pe teritoriul României. Cadrul instituit prin acest act normativ și prin actele subsecvente ale autorităților publice centrale și locale, a generat o veritabilă metamorfoză a majorității domeniilor de activitate, având în vedere adoptarea la scară largă a mijloacelor digitale care facilitează comunicarea, schimbul de informații și tranzacțiile. Aceasta a fost, până la urmă, singura soluție care putea susține economia la un nivel satisfăcător, în acest context al distanțării sociale și al limitării deplasărilor în favoarea sănătății.
În ciuda faptului că soluția salvatoare a digitalizării a permis păstrarea contactului interuman și continuarea activităților profesionale, nu trebuie trecut cu vederea, în niciun moment, faptul că spațiul cibernetic este mult mai vulnerabil decât spațiul fizic, tocmai din cauză că reprezintă o creație umană susceptibilă de o gamă variată de lacune. În egală măsură, este mediul predilect de acțiune al unor “inamici” ai utilizatorilor obișnuiți, “inamici” care se bucură de viteză de operare, anonimat și de încrederea inexplicabilă a utilizatorilor în acest spațiu virtual.
Oamenii au tendința de a neglija problema amenințărilor la adresa securității cibernetice atunci când este vorba despre utilizarea în interes strict personal a facilităților oferite de spațiul virtual (instalarea diverselor programe și aplicații, cumpărături online, descărcarea de materiale existente online, utilizarea rețelelor de socializare etc.). Acest comportament ridică o multitudine de semne de întrebare, date fiind efectele negative asupra vieții private și asupra posibilității de protecție a informațiilor personale.
Cu toate acestea, atunci când este vorba despre activitatea profesională, responsabilitatea inerentă acesteia mobilizează atenția omului cu privire la aspectele problematice care se pot ivi și pentru care dorința de a găsi soluții eficiente este mult mai mare.
Există anumite sectoare de activitate în care munca la distanță, facilitată de instrumentele digitale, este o normalitate, însă pentru majoritatea populației acest lucru constituie o necunoscută la care, iată, trebuie să se adapteze rapid și corespunzător.
Această adaptare determină conștientizarea vulnerabilităților și a amenințărilor aferente desfășurării activității profesionale în spațiul cibernetic, dar și luarea măsurilor de securitate cibernetică adecvate.
Principalele incidente cibernetice semnalate în această perioadă de stare de urgență
Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a emis o serie de informări prin care a atras atenția asupra prezenței în spațiul cibernetic a unei game largi și variate de modalități ingenioase și complexe prin care se exploatează, de către cei care sunt antrenați în săvârșirea infracțiunilor cibernetice, situația generată de pandemia COVID-19.
Malware prezent în informațiile privitoare la pandemie. S-a descoperit că, la momentul accesării unor hărți referitoare la răspândirea globală a virusului SARS-COV-II, utilizatorului i se solicită descărcarea unei aplicații, aparent inofensivă (cu o convingătoare interfață grafică și cu informații reale privitoare la pandemie), care însă, cuprinde malware, cu ajutorul căruia atacatorii obțin informații importante despre utilizatorii afectați, cum ar fi parole și informații legate de conturile bancare.[1]
În alte cazuri, s-a folosit chiar sigla Organizației Mondiale a Sănătății în cadrul unor e-mail-uri de tip phishing, care în aparență ofereau informații oficiale despre pandemie, însă prin care s-a urmărit determinarea destinatarilor să acceseze link-uri problematice din atașamente.[2]
Aplicația denumită tocmai „Coronavirus Update” a fost, bineînțeles, utilizată pentru obținerea datelor de pe dispozitivele mobile care funcționează cu anumite versiuni de sistem de operare Android și iOS. Mai exact, un malware instalat prin această aplicație facilita exploatarea unor setări de permisiuni pentru notificări, cu scopul de a extrage informații de pe aplicațiile de mesagerie existente în dispozitivele mobile victime.[3]
La o primă vedere, s-ar putea spune că informațiile privitoare la pandemie sau chiar accesarea altor informații care nu au legătură cu activitatea profesională, nu prezintă nicio importanță pentru securitatea cibernetică în contextul muncii la distanță prin mijloace digitale.
Însă, această abordare ar fi eronată, deoarece munca la distanță presupune, în majoritatea cazurilor, folosirea dispozitivelor personale.
Drept consecință, aceste dispozitive (ex. Laptop-ul personal) îmbină, în aceste zile de stare de urgență, atât preocupările profesionale ale oamenilor, cât și preocupările strict personale, pentru că nu mai poate fi vorba despre o separare clară a acestora. În aceste condiții, un malware instalat din neștiință prin accesarea unor informații de interes strict personal va afecta și activitatea profesională, anume toate documentele strict profesionale salvate pe dispozitivul personal afectat de malware.
Probleme legate de utilizarea cardurilor bancare și a Internet Banking. La începutul lunii aprilie 2020, tot CERT-RO a atras atenția asupra apariției unor website-uri de phishing care vizează utilizatorii de carduri bancare din România; acestea induc în eroare utilizatorii prin informarea falsă a acestora cu privire la posibilitatea dezactivării cardului bancar deținut în 24 de ore, dacă posesorul cardului nu furnizează anumite informații personale și financiare.[4]
Ulterior, chiar și imaginea Băncii Mondiale a fost folosită în campanii de tip phishing, utilizatorilor solicitându-li-se să introducă datele bancare pentru Internet Banking (ID de logare și parolă), aceștia fiind informați că în caz contrar riscă închiderea contului bancar.[5]
La sfârșitul lunii aprilie, Serviciul Român de Informații (SRI) a avertizat cu privire la un malware de tip troian bancar care vizează în special clienții organizațiilor de tip financiar-bancar din Statele Unite ale Americii, Canada, Grecia, dar și din România.[6] La noi în țară, grupul țintă a fost reprezentat de clienții care accesează servicii de Internet Banking prin browser (Chrome, Firefox, Microsoft Edge), aceștia fiind ademeniți prin e-mail-uri capcană.[7]
Atacurile cibernetice vizează, de cele mai multe ori, informații personale ale utilizatorilor, chiar dacă acestea nu au o valoare pecuniară propriu-zisă.
Drept urmare, oamenii consideră că atacatorii nu vor obține niciun folos mai ales dacă nu sunt persoane cunoscute sau influente.
Însă acest argument este total greșit, deoarece datele personale constituie o valoare însemnată în spațiul cibernetic, datorită multitudinii de metode prin care acestea pot fi exploatate și valorificate de către infractorii cibernetici.
Cu alte cuvinte, în spațiul cibernetic, datele personale înseamnă bani (altfel, ce profit ar avea website-urile sau aplicațiile care oferă gratuit diverse servicii/informații/ facilități?!), cu atât mai mult atunci când este vorba chiar despre informații financiare.
Aplicațiile care facilitează videoconferințele. Faptul că activitatea profesională se desfășoară, în această perioadă, de la distanță, departe de mediul obișnuit de muncă, găsirea unor mijloace care să facă posibile discuțiile între colegi și între echipele responsabile pe anumite proiecte au devenit vitale menținerii unui grad ridicat de eficiență în activitatea profesională derulată în starea de urgență.
În acest sens, majoritatea persoanelor (fizice și juridice) au apelat la aplicațiile care facilitează videoconferințele. Cu toate acestea, utilizatorii s-au concentrat strict numai pe beneficiile acestor aplicații, fără a acorda atenție riscurilor cibernetice la care se expun.
CERT-RO a atras atenția asupra aplicației ZOOM, devenită populară în această perioadă. Metoda de criptare utilizată este TLS (Transport Layer Security), ceea ce semnifică faptul că sunt protejate conexiunile de imixtiunile persoanelor neautorizate, dar nu și de cele ale server-elor ZOOM. Mai mult decât atât, conform politicii de confidențialitate ZOOM, aplicația colectează o gamă variată de informații personale aparținând utilizatorului, ajungând chiar să distribuie aceste informații către Facebook.[8]
O problemă des întâlnită în ultima vreme este cea denumită “Zoombombing”, anume participarea la videoconferințe, cu link de acces public și fără parolă, a unor persoane, din exteriorul grupului țintă, care au urmărit strict perturbarea acestora.
Recomandări de la nivelul instituțiilor europene
În contextul în care vorbim despre un număr de 11 aplicații relevante existente pe piață care facilitează comunicarea online (chat și/sau video)[9], este dificilă alegerea unei aplicații, având în vedere că interesul este atât pentru utilizarea facilă a aplicației, cât și pentru setările de securitate disponibile, dat fiind gradul ridicat de responsabilitate pentru activitățile profesionale desfășurate.
Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) a publicat un ghid pentru alegerea instrumentelor care facilitează comunicarea online[10]:
- comunicațiile să fie criptate, de preferat prin criptare de tip end-to-end;
- să existe posibilitatea unui control centralizat (de exemplu, să poată fi stabilite restricții pentru apeluri, să existe setări care să prevină accesul neautorizat la ședințele virtuale);
- e necesară evaluarea setărilor de securitate (de exemplu, e de preferat să ofere posibilitatea unei autentificări de tip multi-factor);
- necesară evaluarea setărilor de configurare (de exemplu, e de preferat să ofere posibilitatea stocării datelor în interiorul sistemului aplicației, iar nu în afara acestuia);
- necesară citirea cu atenție a politicii de privacy, în special în ceea ce privește tipul de date personale stocate, locul unde sunt păstrate datele, posibilitatea ca datele să fie transferate către alte state/platforme de social media etc., perioadele de păstrare a datelor, precum și setările prestabilite (default settings);
- este de preferat, în măsura în care este posibil acest lucru, ca serviciul de comunicare online să fie utilizat doar prin intermediul contului de e-mail corespunzător activității profesionale, precum și doar prin dispozitivele folosite în derularea activității profesionale, iar nu prin conturi de e-mail și dispozitive personale;
- este important să fie utilizată varianta oficială a serviciului de comunicare online, precum și ultima versiune de software și de setări de securitate;
- fiecare întâlnire/ședință desfășurată prin serviciile de comunicare online trebuie protejată prin parolă; de asemenea, trebuie evitată transmiterea link-ului și a parolei ședinței în afara grupului de participanți;
- trebuie verificate toate setările prestabilite și, în egală măsură, trebuie asigurată informarea tuturor utilizatorilor (participanții dintr-un grup de lucru etc.) cu privire la acestea; în cazul înregistrării unei ședințe, trebuie ca toți participanții la aceasta să fie informați și să își dea acordul pentru efectuarea înregistrării;
- funcțiile de chat, audio, video și screen sharing trebuie folosite cu precauție, astfel încât să nu se riște divulgarea unor informații personale sau chiar a unor informații confidențiale referitoare la activitatea profesională.
De asemenea, ENISA a publicat și un ghid general de bune practici de securitate cibernetică pentru munca de acasă[11]:
Recomandări pentru angajatori
- să se asigure de eficiența rețelei virtuale private (VPN) și de capacitatea acesteia de a permite un număr mare de conexiuni simultane;
- să pună la dispoziția clienților video conferințe adecvate din punct de vedere al securității;
- toate aplicațiile folosite să fie accesibile doar prin canale de comunicare criptate, precum și prin folosirea autentificării de tip multi-factor;
- să nu expună prin Internet interfața de acces la distanță a sistemului;
- să folosească autentificare reciprocă la accesul în sistem (ex. client către server și server către client);
- în măsură posibilităților, să ofere angajaților dispozitive necesare pentru munca de la distanță; important este ca aceste dispozitive să aibă instalate programe actualizate de securitate;
- să fie asigurată posibilitatea angajaților de a primi îndrumări de la specialiști IT, în situația confruntării cu astfel de probleme în cursul activității desfășurate de la distanță;
- necesar să existe politici de gestionare a incidentelor de securitate cibernetică, precum și instruirea angajaților cu privire la aceste aspecte;
- important ca angajatorul să se asigure că orice procesare de date, realizată de acesta în contextul muncii de la distanță, respectă cadrul normativ de la nivelul Uniunii Europene.
Recomandări pentru angajați
- în măsura posibilității, să utilizeze dispozitive oferite de angajator, iar nu dispozitive personale;
- să se conecteze la Internet doar prin rețele sigure, criptate; să evite rețelele disponibile gratuit sau lipsite de parole;
- să transmită documente electronice, legate de activitatea profesională, prin resursele de Intranet ale angajatorului;
- să aibă atenția sporită în ceea ce privește e-mail-urile primite, în special cele conținând informații referitoare la pandemie;
- informațiile și documentele electronice să fie păstrate și criptate pe dispozitive externe;
- sistemul de operare, aplicațiile și anti-virusul trebuie să fie actualizate;
- să nu facă publice link-urile ședințelor/întâlnirilor virtuale pe aplicațiile de social media sau pe alte canale publice.
Concluzii
În același timp cu creșterea nevoii de telemuncă, în urma decretării stării de urgență generată de pandemie, a crescut și numărul incidentelor cibernetice care îi vizează tocmai pe cei care lucrează de la distanță. Această realitate, însă, nu trebuie să descurajeze desfășurarea activității profesionale de la distanță. Din contră, facilitățile tehnologice merită exploatate pentru a combate o eventuală blocare a societății și a activităților umane, în contextul limitării deplasărilor și a interacțiunilor umane.
Singurul lucru care trebuie descurajat e indiferența față de măsurile de securitate cibernetică. Mediul cibernetic nu trebuie privit ca un loc de joacă virtual, lipsit de orice pericol și desprins total de spațiul fizic și de viața umană propriu-zisă.
[1] Wang Wei, Beware of ‘Coronavirus Maps’ – It’s a malware infecting PCs to steal passwords, 11 martie 2020, sursa: <https://thehackernews.com/2020/03/coronavirus-maps-covid-19.html>, apud CERT-RO, Știrile săptămânii din cybersecurity, 12 martie 2020, sursa: <https://cert.ro/citeste/stirile-saptamanii-12-03-2020>
[2] CERT-RO, În plină alertă Coronavirus, atacatorii folosesc identitatea vizuală a Organizației Mondiale a Sănătății pentru campanii de phishing, 12 martie 2020, sursa: <https://cert.ro/citeste/alerta-covid-scam-phishing-oms>
[3] CERT-RO, Aplicația ‘Coronavirus Update’, utilizată în campanii de spionaj, 16 aprilie 2020, sursa: <https://cert.ro/citeste/stirile-saptamanii-16-04-2020>
[4] CERT-RO, Utilizatori de carduri bancare din Romania, vizați de o nouă campanie de tip phishing, 2 aprilie 2020, sursa: <https://cert.ro/citeste/alerta-weebly-phishing-scam>
[5] CERT-RO, O nouă campanie de tip phishing folosește imaginea Băncii Mondiale, 28 aprilie 2020, sursa: <https://cert.ro/citeste/alerta-phishing-banca-mondiala>. În acest caz, nu a fost exploatată doar teama utilizatorilor de pierdere a conturilor bancare, ci și neatenția și lipsa de informare a acestora, dat fiind că Banca Mondială sprijină activitatea guvernelor statelor, iar nu pe cea a indivizilor.
[6] CERT-RO, Troianul bancar care infectează soluțiile de Internet Banking, prin intermediul browser-ului; 30 aprilie 2020, sursa: <https://cert.ro/citeste/stirile-saptamanii-30-04-2020>
[7] Serviciul Român de Informații, Cyber Awareness: Troian bancar infectează soluțiile de Internet Banking prin browser, 28 aprilie 2020, sursa: <https://www.sri.ro/articole/cyber-awareness-troian-bancar-infecteaza-solutiile-de-internet-banking-prin-browser>. E-mail-urile suspecte transmise utilizatorilor vizați conțin fie un link, fie un atașament; practică des întâlnită în infracțiunile cibernetice care utilizează metoda phishing.
[8] CERT-RO, Aplicația Zoom are probleme majore de securitate, 2 aprilie 2020, sursa: <https://cert.ro/citeste/alerta-zoom-vulnerabilitati>
[9] Victoria Hudgins, Side-By-Side: Comparing Popular Video Conferencing Platforms’ Security and Usability, aprilie, 2020, sursa: <https://www.law.com/legaltechnews/2020/04/10/side-by-side-comparing-popular-video-conferencing-platforms-security-and-usability/>; Kate O’Flaherty, Zoom Alternatives: 5 Options For People Who Care About Security And Privacy, aprilie, 2020, sursa: <https://www.forbes.com/sites/kateoflahertyuk/2020/04/04/zoom-alternatives-5-options-for-people-who-care-about-security-and-privacy/>; Kari Paul, Worried about Zoom’s privacy problems? A guide to your video-conferencing options, aprilie, 2020, sursa: <https://www.theguardian.com/technology/2020/apr/08/zoom-privacy-video-chat-alternatives>
[10] ENISA, Tips for selecting and using online communication tools, 27 aprilie 2020, material inspirat de un studio realizat de către CERT Letonia, sursa: <https://www.enisa.europa.eu/news/enisa-news/tips-for-selecting-and-using-online-communication-tools> .- Ghidul conține recomandări stabilite pentru categoria întreprinderilor mici și mijlocii, însă poate fi avut în vedere și de către alte entități sau chiar de către indivizi în desășurarea în bune condiții a activității profesionale în mediul online.
[11] ENISA, Tips for cybersecurity when working from home, 24 martie 2020, sursa: <https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home>