- Având în vedere că ați început proiectul DefCamp în anul 2011, când securitatea cibernetică era un concept mai puțin abordat, cum apreciați că a evoluat în ultimii ani piața de cybersecurity din România?
În 2011, când puneam bazele DefCamp, securitatea cibernetică era un termen relativ abstract, nu atât de cunoscut dat fiind nivelul scăzut de înțelegere a importanței securității cibernetice la vremea respectivă în România. Industria și comunitatea de securitate cibernetică erau încă tinere, iar vulnerabilitățile nu existau în număr atât de mare sau poate nu atingeau un nivel la fel de critic ca în prezent. Chiar și numărul atacatorilor era semnificativ mai mic.
Mai apoi, evoluția tehnologică și accelerarea digitalizării au devenit principalii factori ce au adus schimbări în zona de securitate – și, implicit, criminalitate – informatică.
În decursul anilor am fost martori la creșterea în popularitate a platformelor de social media, dezvoltarea căilor de comunicare în online – de la 3G la 5G, intensificarea utilizării dispozitivelor inteligente de tip IoT și a dispozitivelor mobile, favorizarea soluțiilor de tip cloud, a tehnologiilor blockchain, a criptomonedelor și așa mai departe.
Spre exemplu, aplicațiile de tip ransomware nu ar fi avut un impact atât de mare dacă nu ar fi existat criptomonedele.
Orice inovație de acest gen a atras după sine riscuri pentru utilizatori, iar criminalii cibernetici au profitat de orice slăbiciune pentru a-și lansa atacurile: phishing și alte scheme de inginerie socială, fraude online, malware, ransomware, spyware, mining, fake news, DDoS. Mai mult decât atât, criza sanitară și cea geopolitică din ultima perioadă au fost catalizatori și mai puternici pentru toate aceste acțiuni. Astfel, mă bucur să văd că în ultima perioadă securitatea cibernetică a devenit o prioritate la nivelul politicilor și inițiativelor guvernamentale naționale și europene, dar și în companii, și cu siguranță atât comunitatea, cât și calitatea serviciilor vor crește semnificativ.
- Ați crescut de la an la an și DefCamp a devenit tradiție. Ce provocări ați avut în organizarea evenimentului de anul acesta, având în vedere cei doi ani de pandemie?
Prima ediție a DefCamp a avut ca scop crearea unei comunități a pasionaților de securitate cibernetică, pasionați care la acea vreme comunicau și se informau exclusiv în mediul online. Edițiile care au urmat au extins și consolidat comunitatea, atrăgând membri la nivel regional și internațional. Poate că după doi ani de activitate exclusiv online ne-am fi așteptat ca revenirea în format fizic să fie grea.
Însă comunitatea ne-a dovedit contrariul. Cei peste 1.600 de participanți la DefCamp 2022 ne-au confirmat că dorința de învățare, colaborare și schimb de idei între specialiști este încă intensă și că DefCamp răspunde în continuare acestor nevoi. Suntem încrezători că următoarea ediție se va bucura de o popularitate și mai mare. Pe viitor, ne vom concentra să dezvoltăm activitățile conferinței, de la zona de competiții adaptate noilor provocări până la zona de prezentări și speakeri. Așa cum ne știți deja, lucrăm mereu să aducem noutăți și să oferim o experiență memorabilă.
- Din punctul tău de vedere, crezi că România are nevoie de mai multe evenimente de acest gen? Majoritatea sunt organizate la București sau în centre universitare. Cum s-ar putea face ca teme ce abordează domeniul securității cibernetice să ajungă și la cei pasionați ce locuiesc în orașe mai mici și care dispun de posibilități financiare mai reduse?
Răspunsul scurt este da. Cu siguranță evenimentele sunt o oportunitate foarte bună de comunicare și de colaborare – și mai ales de susținere a unei comunități. Noi încercăm mereu să acoperim o zonă cât mai mare. Astfel, dacă în 2021 am organizat DefCamp exclusiv online, ne-am dat seama că putem ajunge la oameni mai ușor prin intermediul digitalului. De aceea, DefCamp 2022 a venit și cu o componentă hibrid, de transmisiune online, pentru cei care nu au reușit să ajungă în București.
Clar, nu este aceeași experiență ca participarea fizică, dar oferă posibilitatea celor care nu pot ajunge să fie totuși alături de comunitate și să urmărească prezentările sau să se înscrie în concursuri care au avut loc și pe platforma CyberEDU.
Într-adevăr, orașele mari și centrele universitare dispun de resurse mai variate ce permit organizarea unor astfel de evenimente. Totuși, chiar și în astfel de cazuri există diverse limitări, precum găsirea unei locații suficient de mare care să permită acomodarea mai multor participanți și a mai multor tipuri de activități care se desfășoară în paralel, disponibilitatea unor persoane care să gestioneze logistica din spate și multe altele.
Pentru comunitățile mai mici, cea mai bună soluție o reprezintă colaborarea între mediul de afaceri, instituțiile locale și instituțiile de învățământ. Comunicarea susținută și constantă între acestea este fundamentală, iar organizarea unor mici workshop-uri cu liderii din aceste comunități este recomandată pentru a se crea premisele unui schimb de experiențe și resurse ce apoi pot fi diseminate în comunitățile locale.
Spre exemplu, noi am creat UNbreakable 24/7/365 – un beneficiu al programului UNbreakable Romania – ce urmează să fie lansat în curând spre a fi folosit în mod gratuit de către participanții din program. Mai exact, orice instituție academică din țară, indiferent de orașul în care este localizată și fie că vorbim despre universități sau licee din România, se poate înregistra în UNbreakable 24/7/365. Apoi, ea va avea posibilitatea să acceseze gratuit resursele competiției (resurse video, resurse educaționale și laboratoare practice) pentru tot anul, pentru toți elevii și studenții. De asemenea, ea își va putea crea un spațiu dedicat pe platforma CyberEDU, unde elevii sau studenții să vor antrena în cele peste 100 de laboratoare gratuite. Instituțiile de învățământ înscrise pot accepta sau refuza aplicanți și, nu în ultimul rând, pot urmări progresul acestora într-un clasament privat. UNbreakable 24/7/365 oferă astfel acces constant la resurse valoroase de studiu în securitate cibernetică pentru tineri, oriunde s-ar afla aceștia pe teritoriul țării.
- Cu siguranță astfel de evenimente vor crește know-how-ul populației din România în ceea ce privește apărarea cibernetică și îi va pregăti pe români să-și protejeze mai bine datele personale. Ca să mă exprim plastic, ce butoane trebuie apăsate, pentru ca în proiectele de digitalizare destinate cetățenilor să fie pus cel puțin semnul egal între funcționalitate, utilitate și securitate?
Este clar că evoluția tehnologică a adus, pe lângă beneficii, și riscuri pe măsură. Cu toții suntem utilizatori digitali și simpla conexiune la internet ne etichetează drept potențiale victime ale infractorilor cibernetici. Pentru a nu cădea în capcanele lor, este important ca cetățenii să înțeleagă ce pericole există și care sunt regulile minime de igienă cibernetică pe care să le pună în practică în viața de zi cu zi.
În ultimii ani au fost lansate mai multe inițiative de educare și conștientizare a acestor aspecte pentru publicul larg. Amintim aici Siguranța Online, o campanie inițiată de Poliția Română în colaborare cu Directoratul Național de Securitate Cibernetică – DNSC și care se concentrează în mare măsură pe fraudele online. Notabilă este și Luna Europeană a Securității Cibernetice, o campanie anuală coordonată de către Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), care în acest an a explicat pericolele atacurilor de tip phishing și ransomware. Statele membre ale UE au resimțit impactul benefic al campaniei din 2021, 73% dintre acestea comunicând că modul în care o persoană ar acționa în cazul în care s-ar confrunta cu o amenințare la adresa securității cibernetice s-a îmbunătățit semnificativ.
Și, nu în ultimul rând, e important pentru companii să aibă în vedere instruirea angajaților în ceea ce privește conștientizarea riscurilor online. Este cu siguranță un pas vital în dezvoltarea unei igiene digitale cu riscuri minime.
De asemenea, ultimele reglementări în domeniu, precum GDPR, Directiva NIS și Directiva NIS 2, recent aprobată de Comisia Europeană, alături de o educație a decidenților, vor ajuta la balansarea funcționalităților, utilităților și securității noilor sisteme informatice.
- Dacă ne uităm la domeniul IT din perspectiva pieței muncii, constatăm că a rămas de câțiva ani în topul preferințelor tinerilor, în special pe considerentul salariilor. Crezi că România produce resursă umană calificată pentru a acoperi cererea pe acest domeniu? Dacă nu, unde crezi că ar trebui făcute schimbări în procesul educațional? De unde ar trebui început?
Cu siguranță domeniul IT este și va rămâne atractiv pentru cei care își doresc salarii mari și „treabă la calculator”. Realitatea însă e alta: pentru a reuși să lucrezi într-un domeniu atât de competitiv trebuie să studiezi mult pe cont propriu, nu doar să termini o facultate sau un curs online. Practica este vitală atunci când trebuie să vezi cum aplici niște termeni și noțiuni pe care le cunoști doar „din cărți”.
Probleme ce țin de lipsa resursei umane există cu atât mai mult în securitate cibernetică, nu doar în România, ci chiar la nivel european și global. De exemplu, conform raportului (ISC) Cybersecurity Workforce Study, în Europa există un deficit de forță de muncă estimat la aproximativ 199.000 de specialiști în securitate cibernetică pe piață. De asemenea, este nevoie de peste 3,4 milioane de specialiști în lume pentru a acoperi nevoile actuale. La rândul lor, reprezentanții Directoratului Național de Securitate Cibernetică aminteau că România duce lipsă de peste 2.500 de astfel de specialiști.
Este cu atât mai greu să umplem aceste goluri cu cât metodele de atac și exploatare devin din ce în ce mai sofisticate, iar cerințele specifice pe care specialiștii trebuie să le îndeplinească pentru a le face față evoluează la fel de rapid.
Singura soluție rămâne în continuare educarea și antrenarea tinerelor talente pentru a le transforma în noi generații de profesioniști bine pregătiți. Iar acest proces trebuie să înceapă devreme, poate chiar mai repede decât perioada liceului.
Proiecte precum UNbreakable România sau Romanian Cyber Security Challenge (RoCSC) sunt ocazii pentru cei tineri să dea frâu liber creativității și curiozității pentru a explora și testa limitele tehnologiei (sau poate lipsa lor). La fel de importantă este și fundamentarea cunoștințelor tehnice prin antrenament constant și rezolvare de exerciții practice inspirate din viața reală, în platforme educaționale precum CyberEDU.
Toate acestea au fost dezvoltate cu scopul principal de a-i ajuta și ghida pe cei tineri, aflați la începutul unei cariere în securitate cibernetică.
- Privit strict din perspectiva mediului universitar, cum ar putea acesta să sprijine formarea resursei umane pentru a acoperi cererea tot mai mare în acest domeniu?
Mediul academic implementează deja cursuri și programe de masterat în securitate cibernetică pentru a oferi tinerilor oportunități de învățare cât mai eficiente. Proiectul UNbreakable România de care aminteam mai sus a centralizat lista acestor cursuri în ceea ce numește Educație în securitate cibernetică. De asemenea, UNbreakable se bucură de o mare susținere din partea universităților: la ediția din acest an a programului, 35 de universități și-au încurajat studenții să participe la competiții.
Nu în ultimul rând, conform DNSC, centrele universitare principale din țară au în plan introducerea de noi programe educaționale pentru formarea de noi specialiști, ceea ce înseamnă că securitatea cibernetică a devenit o prioritate și pentru mediul academic.
Cu siguranță, un rol foarte important în acest caz îl va juca și mediul privat prin implicarea sa în inițiativele mediului academic, astfel încât să se asigure ca cerințele lor să facă parte din curriculumul ce urmează a fi predat.
- Prin proiectele în care sunteți implicați, colaborați des cu universități pentru a identifica tinere talente? Este și asta o cale de a-i determina să se întoarcă cu 180 de grade față de un eventual drum spre blackhat hacking?
Activitățile blackhat nu mai sunt chiar atât de atractive așa cum erau acum câțiva ani. În prezent, există numeroase metode prin care poți face bani în securitate cibernetică într-un mod etic. Spre exemplu, te poți angaja pe un rol de securitate cibernetică, de la analist sau penetration tester, până la consultant sau manager. De asemenea, îți poți completa veniturile salariale cu venituri din activități de tip bug bounty, în care companiile plătesc specialiști pentru vulnerabilitățile raportate într-un mod etic. Nu în ultimul rând, poți lansa un startup în domeniu și te poți bucura de un sprijin foarte mare din partea numeroaselor acceleratoare, fonduri de investiții sau programe de finanțare dezvoltate de UE/NATO pentru acest domeniu.
Pentru a împărtăși toate aceste informații tinerilor, lucrăm îndeaproape cu mediul academic. De exemplu, colaborarea pe care o avem cu universitățile din România în cadrul proiectului UNbreakable s-a extins de la o ediție la alta. La competițiile din primăvara acestui an, 53% dintre participanți au provenit din mediul universitar.
Mai mult decât atât, universitățile pot apela și la soluții precum CyberEDU, platforma educațională care găzduiește concursurile din cadrul UNbreakable România. CyberEDU a fost conceput pentru a antrena noi generații de specialiști în securitate informatică, indiferent de vârstă sau nivel de experiență, prin exerciții și scenarii dezvoltate pentru și folosite în competiții internaționale de hacking etic. Astfel, platforma vine să îmbogățească programul de studii în domeniul securității cibernetice cu exerciții și laboratoare practice.
Cele peste 350 de laboratoare existente acum în platformă oferă tinerilor toate șansele să își testeze abilitățile și să se antreneze într-un proces eficient de învățare continuă, fără a mai fi nevoie să caute experiențe aparent mai palpitante în activități ilicite. În plus, competițiile existente pe platformă oferă, pe lângă experiența de securitate ofensivă și defensivă, și premii, astfel că există și o extra motivație.
- De ce crezi că unii adolescenții aleg calea blackhat hacking?
Greu de zis. Poate mirajul puterii nelimitate pe care simt că o au la o vârstă atât de fragedă sau prin simpla curiozitate. Dar cel mai important motiv este lipsa unui mediu de învățare practic și adecvat care să transmită tinerilor principii și valori etice încă din fazele incipiente ale studiului. Bineînțeles, există și o dorință de a surprinde și de a-și dovedi propriile abilități, specifică vârstei, care încurajează alegerea acestui drum.
- E clar că mediul liceal este principala rampă de lansare pentru cei pasionați de informatică, în primul rând. Ce părere ai de ideea unor comunități de ethical hacking și promovarea unor competiții de tip CTF în mediul liceal și cum ar contribui astfel de inițiative la diminuarea criminalității cibernetice în rândul tinerilor?
Comunități precum cea construită în jurul DefCamp sau programe asemănătoare celor găzduite pe CyberEDU participă activ în dezvoltarea skill-urilor într-un mod etic și sunt mereu disponibile pentru tinerii de orice vârste. De aceea ne implicăm activ să creștem toate aceste proiecte, în număr și complexitate, pentru a putea ajunge la cât mai mulți elevi care vor să se dezvolte în zona de securitate cibernetică. Vrem să le oferim de la bun început toate resursele – teoretice și practice – și experiențele care să le insufle principiile necesare spre a alege direcția corectă în acest domeniu.
Mai mult, ne-am bucurat să vedem la DefCamp anul acesta mai mulți liceeni interesați de acest domeniu, ceea ce este foarte încurajator pentru noua generație de specialiști. Este important să înceapă cu resurse și în comunități puternice, astfel încât să aibă timp să-și structureze informațiile și să aibă o bază solidă de pe care să construiască mai departe.
Nu în ultimul rând, toate aceste inițiative deja existente, dar și altele pe viitor, trebuie să atingă și subiectele ce țin de etica în domeniu.
- Cum crezi că noi, cei de la securitypatch.ro, am putea sprijini acest demers?
Sunt de părere că fiecare dintre noi poate participa activ. Cum? Folosind resursele pe care le avem, printr-o bună colaborare și comunicare cu alți oameni din industrie ca să oferim oportunități și medii propice de dezvoltare.Simplul fapt că aceste informații se pot propaga în comunitatea voastră este de un mare ajutor.
Înainte de 2011, și eu scriam activ pe un blog de IT (și security), iar comunitatea formată în jurul blogului m-a ajutat sa promovez și să construiesc primele parteneriate de la DefCamp.
M-aș bucura în viitor să susțin următoarele inițiative „on-site” ale securitypatch.ro.
- Încheiem cu o întrebare de care te lovești probabil destul de des: Este mai rentabil să fii în tabăra whitehat sau blackhat? De ce?
Activitatea unui blackhat hacker este, prin natura sa, ilegală. În mod evident, acest lucru implică o serie de câștiguri financiare semnificative și incită în egală măsură și sentimentul de adrenalină și nonconformism. De asemenea, dacă analizăm acțiunile „hacktiviștilor”, cei care lansează atacuri cibernetice dintr-o motivație pur politică sau socială, putem înțelege, până într-un punct, dorința de a produce o schimbare în societate pentru binele comun.
Însă o schimbare fondată pe intenții malițioase, distructive, nu poate fi vreodată cu adevărat eficientă. Acesta este punctul în care hackerii etici fac de fapt diferența. Un whitehat hacker este în poziția dificilă și, în același timp, nobilă, de construi cea mai puternică apărare, de a oferi siguranță și încredere. Iar a fi în mod constant mai creativ, mai abil și mai agil decât un infractor cibernetic aduce o satisfacție profesională și personală mult mai mare.
Desigur, mai devreme sau mai târziu, tentația de a greși va fi mare, dar riscul de a pierde libertatea nu merită niciun câștig material.