Daca ar veni in Romania, Kevin Mitnick - unul dintre cei mai faimosi hackeri ai lumii, transformat intre timp in om de afaceri - ar trebui mai intai sa atace cateva companii ca sa le dovedeasca managerilor romani cat de vulnerabile le sunt afacerile. "Se cheama «ethical hacking» ce fac eu acum", a declarat el pentru BUSINESS Magazin.

Despre Kevin Mitnick se poate spune, fara ezitare, ca a avut o tinerete aventuroasa. A fost vanat ani in sir de Biroul Federal de Investigatii al Statelor Unite. A fost arestat de doua ori si a petrecut cinci ani in inchisoare pentru ca a umblat in computerele si retelele unor companii fara acordul acestora. Fiind inchis, a stat izolat timp de opt luni, pentru ca autoritatile se temeau ca va declansa un atac nuclear folosindu-se de telefonul public al penitenciarului. Timp de doi ani dupa ce si-a ispasit pedeapsa nu a avut voie sa se atinga de computere sau de telefoane. 

Astazi, la 41 de ani, fostul hacker face acelasi lucru: sparge sisteme de securitate si retele informatice. Cu diferenta ca si-a transformat pasiunea in afacere. O afacere legala, de aceasta data. "Sincer, imi pare rau ca am intrat in mod ilegal in sistemele informatice, mai ales ca acum fac asta si oamenii ma platesc sa o fac. Se cheama «ethical hacking» ce fac eu acum", a marturisit Kevin Mitnick, intr-o discutie avuta cu BUSINESS Magazin.

Unele companii au apelat la serviciile lui Mitnick pentru a-si testa securitatea retelelor informatice: "Ne strecuram din afara inauntrul sistemului si apoi intocmim rapoarte si recomandari despre cum ar putea companiile respective sa isi imbunatateasca sistemul de aparare. In alte cazuri, companiile ma solicita sa vin chiar in mijlocul retelei, chiar in inima sistemului, pentru a-l face mai putin vulnerabil la atacuri", ne-a declarat Mitnick. "Daca hackerii si-ar indrepta atentia spre Romania ar fi jale, dar am inregistra si o crestere foarte mare a vanzarilor de solutii si servicii de securitate", spune Florin Talpes, director general al Softwin, care produce BitDefender, o gama de solutii de securitate destinate atat utilizatorilor individuali, cat si companiilor. Securitatea informatiilor devine o problema acuta pe masura ce afacerile depind tot mai mult de infrastructura informatica. Insa chiar daca un simplu click cu mouse-ul pe o pagina de Internet poate bloca activitatea unei intregi companii, managementul companiilor romanesti nu pare sa-si puna in mod serios astfel de probleme. "La noi, modul de gandire al managerilor este unul de tip reactiv si nu proactiv", afirma Bogdan Olteanu, CIO la GeCAD, firma de securitate celebra mai ales pentru faptul ca a vandut solutia sa antivirus, RAV, gigantului Microsoft.

Prin urmare, daca companiile romanesti de specialitate nu ar lucra pentru companii din strainatate, si-ar inchide afacerile.

Conform estimarilor echipei BitDefender, piata solutiilor si serviciilor de securitate in anul 2003 se situa la nivelul sumei de 3 milioane de dolari, urmata in 2004 de o crestere pana la aproximativ 4 milioane de dolari. In toata aceasta perioada, ponderea cea mai mare a fost detinuta de solutiile antivirus, in proportie de 62-65%.

Comparativ, in Europa s-au cheltuit pe masuri de securitate informatica, potrivit IDC, 2,5 miliarde de dolari in 2003. "Companiile sau institutiile din domeniul bancar, financiar sau al sanatatii, cum sunt HIPAA sau Basell, aloca circa 20% din intregul lor buget de IT pentru investitii in securitate", a declarat pentru BUSINESS Magazin Bernd Dultinger, director de vanzari pentru Europa de Sud, Centrala si de Est si Turcia la Computer Associates, companie care produce software de management, de gestiune si de securitate.  Aplicand logica potrivit careia o piata mica are potential de dezvoltare mare, se poate afirma ca domeniul este de viitor. Vrand-nevrand, companiile romanesti vor apela la firme specializate in securitate informatica si vor cheltui o parte din bugete pe astfel de solutii si servicii, chiar daca vor face asta numai dupa un incident sau dupa un atac informatic.

Comparativ cu pietele occidentale, se poate spune ca piata este de cateva zeci de ori mai mica. Ce nu se vinde si ar trebui sa se vanda? "Solutiile complete, capabile sa asigure o protectie eficienta, serviciile care vin sa completeze tehnologiile vandute", spune Talpes. "Inca mai avem pe piata romaneasca furnizori care nu inteleg ca simpla livrare a unor CD-uri nu asigura protectia eficienta a companiilor-client." 

Problema este ca securitatea unei companii nu se rezuma la a avea un program antivirus pe computere. In contextul atacurilor informatice actuale, tehnologiile trebuie completate cu servicii, proceduri si comunicare permanenta furnizor-client.

Insa prima intrebare a unui manager care de abia s-a obisnuit cu faptul ca are in subordine un departament de tehnologia informatiei e daca merita sa cheltui banii pe solutii si servicii de securitate. Exista o formula de calcul bazata pe ROI (return on investment) care ar putea sa aduca lamuriri. Conform estimarilor BitDefender, de exemplu, o firma cu 50 de angajati cu acces Internet si e-mail, ar putea avea pierderi de 44.000 de dolari anual daca s-ar confrunta cu 11 incidente provocate de atacuri informatice si nu ar avea o protectie eficienta. "In medie, aceasta firma poate castiga 3 dolari pentru fiecare dolar investit in protectie antivirus eficienta", afirma seful Softwin. "Acest algoritm se poate calcula pentru orice tip de companie, in functie de numarul de angajati, productivitate medie, numarul de atacuri raportate si asa mai departe."

Nu in ultimul rand, in momentul calcularii investitiei in solutii de securitate trebuie avut in vedere si factorul TCO (Total Cost of Ownership). 

"Exista o multime de costuri ascunse care pot mari investitia intr-o solutie aparent ieftina: lipsa serviciilor de calitate (creste efortul echipei proprii de a se specializa in domeniul securitatii), solicitare de resurse suplimentare hardware si software, protectie descentralizata etc.", mai spune Talpes. 

Potrivit studiilor Market Intelligence BitDefender, valoarea pagubelor produse de atacurile informatice in lume se ridica la 16,7 miliarde de dolari numai in anul 2004. Pentru Romania, conform acelorasi estimari, pierderile cauzate de virusi sunt de circa 97 mil. dolari. Ca si pierderi directe pot fi amintite sustragerea de informatii, secrete de serviciu si baze de date, dar si informatii deteriorate, distrugerea fisierelor de sistem, blocarea conexiunilor la Internet, mergandu-se pana la stoparea activitatii. 

Mai exista insa si o serie de alte pierderi - indirecte - putin constientizate de companiile romanesti. Este vorba de scaderea productivitatii, a vanzarilor potentiale si a increderii partenerilor sau clientilor acelor companii care au fost afectate de un atac sau un incident de securitate informatica. Cu alte cuvinte, deteriorarea capitalului de imagine. 

"Lumea nu intelege insa fenomenul in amanunt. Am constatat o superficialitate in abordarea acestei probleme chiar de catre companiile IT. Sunt firme care urmaresc doar un profit rapid de pe urma vanzarii de solutii de securitate", crede Bogdan Olteanu de la GeCAD.

E un subiect delicat. "In securitate e ca si in asigurari. Totul se bazeaza pe incredere, pe de o parte, iar pe de alta parte nu ai nevoie de produsele respective decat atunci cand cutitul a trecut de os", crede Olteanu.

In Occident, spionajul industrial, atacul asupra retelei unui adversar in afaceri - fie pentru a-i bloca activitatea, fie pentru a fura informatii - sunt practici nu de putine ori intalnite. "Acum, prin-tre hackeri sunt chiar si spioni industriali sau militari. Noi, in America, avem structuri specializate care atrag inteligenta din alte tari pentru asemenea scopuri.

Sunt convins ca si in alte tari se intampla acelasi lucru", ne-a declarat Kevin Mitnick. "Si in Romania am convingerea ca exista companii care angajeaza hackeri pentru a lansa atacuri impotriva concurentei", intareste Talpes. "Cel mai pe-riculos atac e acela pe care nu il descoperi niciodata." De altfel, nu de hackeri ducem lipsa. Bogdan Dumitru, CTO la Softwin si principalul "creier" care a dezvoltat Bit- Defender apreciaza ca Romania se afla in primele zece tari din punct de vedere al numarului hackerilor si al importantei acestora. Atat doar ca nici hackerii nostri si nici cei din strainatate nu si-au pus inca fortele cu companiile romanesti. Pe de o parte, e mult mai tentant sa reusesti un atac asupra microsoft.com decat asupra dacia.ro. Hackerii, indiferent de nationalitatea lor, cauta doua lucruri: recunoastere si castig material. 

"Cum, deocamdata, nu sunt foarte multe castiguri de obtinut din site-urile romanesti, acestea nu sunt tinta hackerilor", crede Bogdan Dumitru. "Pentru moment, atacurile asupra site-urilor companiilor romanesti sunt facute din teribilism sau pentru a castiga experienta". Pe de alta parte, companiile romanesti nu au inca o infrastructura informatica care sa permita atacuri de mare amploare. Circa 70% dintre companii mai folosesc inca conexiuni de tip dial-up la Internet. Nici un hacker nu va incerca sa atace sau sa fure informatii printr-o conexiune care asigura o viteza atat de mica a transferului de date.

Dar aceste lucruri se vor schimba rapid. Pentru a ramane competitive, firmele vor apela la viteze mai mari (broadband) a conexiunilor la Internet prin care se pot transfera date mai multe mai rapid. Exista deja afaceri de neconceput fara o infrastructura informatica performanta. Sectorul financiar-bancar, de exemplu, depinde in intregime de acest suport, care ii asigura toate platile si tranzactiile la distanta.

La fel, momentul in care vom avea un comert electronic avansat va coincide si cu invazia de atacuri informatice asupra companiilor romanesti de profil, care vor deveni, automat, tinte preferate de hackeri.

Dar nimeni nu vorbeste deschis despre acest subiect. Singurele cazuri cunoscute de companii mari care au suferit de pe urma atacurilor informatice au devenit cunoscute doar pentru ca informatia nu mai putea sa fie ascunsa. In toamna anului trecut, Dacia a admis faptul ca vanzarile proaspatului Logan au fost afectate de un virus informatic care a infectat reteaua de distribuitori. Acum doi ani, virusul Sasser a facut ravagii la Electrica Moldova, blocand sistemul de incasare a platilor timp de patru zile. Compania a trecut evenimentul sub tacere. Nici intr-un caz, nici in celalalt, nimeni nu a cuantificat, in mod public, pagubele suferite.

Dar studiile de specialitate arata ca 80% din pagubele cauzate de un atac informatic sunt de fapt provocate de erori umane din interiorul companiilor: fie ca cineva are acces intr-o arie a retelei unde nu ar fi trebuit sa ajunga, fie ca un angajat ofera, fara voia sa sau cu buna stiinta, informatii vitale la telefon. Fie, pur si simplu, un angajat deschide un mesaj care pare interesant si lanseaza astfel un virus sau un program care deschide o bresa in sistemul de securitate. Pana la urma, mare parte din atacurile informatice se folosesc de ingineria sociala (social engineering), specialitate care l-a facut faimos si pe Kevin Mitnick. El obisnuia sa obtina parole de acces sau coduri pacalind angajatii unei companii la telefon.

"Nu exista solutie care sa asigure protectie 100%. Singura modalitate de a fi protejat total este sa nu pornesti calculatorul", spune Gheorghe Dobrea, directorul companiei de consultanta IT Intelprof.

Asa ca instruirea personalului face parte din solutiile sau serviciile de securitate. "E necesara o politica de securitate la nivelul companiei si trebuie sa motivezi oamenii sa se supuna acestei politici", spune Mitnick. "Pana la urma, cand un hacker aplica tehnica de "social engineering", urmareste sa convinga o persoana sa scurtcircuiteze politica de securitate, protocolul impus la nivelul organizatiei. Hackerii folosesc mesaje foarte inteligent concepute pentru a pune o persoana sub influenta lor", avertizeaza acesta. Fie ca apelezi la o firma specializata in servicii de securitate, fie ca angajezi personal propriu specializat pe securitate, e vorba de o decizie "politica". Managementul trebuie sa inteleaga primul necesitatea politicilor de securitate si sa le explice angajatilor. Dar, daca vine vorba despre a angaja personal propriu specializat, surpriza: "Nu am fost contactati niciodata pe aceasta tema si nici nu am auzit discutandu-se despre acest subiect", spune George Butunoiu, managing partner la Alexandre Hughes, o companie de recrutare de personal.

In orice caz, atunci cand se va pune serios problema angajarii de personal specializat in securitate, solutia preferata de majoritatea companiilor autohtone va fi cea a unui angajat propriu. "Academia SRI este singura in masura sa furnizeze asemenea personal. Ar trebui sa se studieze mai mult tehnologia informatiei acolo", spune Florin Talpes.

Probabil ca in zece ani se va pune problema buletinului electronic, un act de identitate informatica al fiecarui utilizator de Internet, pentru a se putea evita fraudele, spun specialistii IT. Pana atunci, este interesant cum oamenii sunt foarte usor de pacalit prin intermediul Internetului. "Daca te opreste un necunoscut pe strada si iti spune sa ii dai o suma de bani ca sa-ti aduca a doua zi un laptop, in mod sigur nu vei accepta asa ceva. In mod bizar, cand aceeasi propunere vine prin Internet, o multime de oameni cad victime", observa Talpes. "Oamenii cred ca un e-mail venit de la Florin Talpes nu poate sa fie decat de la Florin Talpes. Ei bine, nu e asa deloc."

Pana la urma, celebrul Kevin Mitnick nu isi va deschide o firma in Romania. Cu toate ca o reprezentanta Mitnick Security pe meleaguri mioritice ar da de gandit multor companii. Mitnick a venit in Romania saptamana aceasta doar pentru a vorbi despre securitate la un seminar IDC. "De abia v-am localizat pe harta", spune el. Dar daca Mitnick a facut-o deja, o vor face si altii. Si poate nu numai cu intentii onorabile.