Business Hi-Tech

Peisajul amenintarilor cibernetice s-a schimbat fundamental: inteligenta artificiala accelereaza si democratizeaza productia de malware, infrastructura critica (OT) a devenit o tinta directa, iar factorul uman reprezinta vectorul principal de atac. Aceasta a fost concluzia generala a expertilor de top din industrie, mediul academic si institutii de reglementare, reuniti la Timisoara Cyber Forum 2025, eveniment organizat de subsidiara locala a companiei americane de cybersecurity OPSWAT.

Atacurile migreaza de la atasamente la hiperlinkuri

Inteligenta artificiala generativa a redus costurile si a scazut bariera tehnica pentru crearea de malware, ducand la o crestere exponentiala a volumului de atacuri. Aceasta "inundatie" de fisiere malitioase pune o presiune imensa pe sistemele de securitate traditionale, care se bazeaza pe semnaturi si rateaza amenintarile noi (zero-day). Aceasta este una dintre concluziile prezentarii sustinute de Jan Miller, CTO threat analysis la OPSWAT, si Jack Madine, senior product manager la OPSWAT.

"In primul rand, as spune ca bariera, nivelul de intrare pentru, sa zicem, amatorii care vor sa creeze malware este mai scazut. Pentru ca poti folosi AI... pentru a genera malware. Deci este mult mai usor in zilele noastre sa generezi un potop de variante de atacuri si apoi, practic, sa faci un atac de tip DDoS asupra mediilor tinta cu un potop de fisiere", a explicat Jan Miller, CTO, threat analysis in cadrul OPSWAT.

Jan Miller, CTO & Threat Analysis, OPSWAT: Bariera, nivelul de intrare pentru amatorii care vor sa creeze malware, este mai scazut. Pentru ca poti folosi AI... pentru a genera malware. Deci este mult mai usor in zilele noastre sa generezi un potop de variante de atacuri si apoi, practic, sa faci un atac de tip DDoS asupra mediilor tinta cu un potop de fisiere

Miller a subliniat ca motoarele antivirus traditionale, bazate pe semnaturi, nu sunt suficiente. Pe langa faptul ca rateaza amenintari - 7,3% dintre fisierele considerate anterior "curate" fiind de fapt malitioase - acestea nu analizeaza hiperlinkuri, vectorul de atac dominant al viitorului.

"Atasamentele din e-mailuri dispar; totul se muta pe hiperlinkuri care urmeaza un lant de redirectionare si apoi livreaza fisierul mai tarziu. Si cred ca a te concentra doar pe fisier la perimetru poate fi inselator daca vectorul de amenintare se muta catre hiperlinkuri ca mecanism de livrare", a adaugat Miller.

Datele din noul raport "Threat Landscape" al OPSWAT, bazat pe traficul public al platformei Filescan.io, arata ca atacurile devin tot mai complexe. Atacatorii folosesc tehnici de ofuscare ("software packing") si migreaza catre tipuri de fisiere de nisa, cum ar fi .NET sau cele compilate cu Python, care sunt mai greu de analizat.

"Actorii care genereaza amenintari se indreapta catre tipuri de fisiere de nisa, care sunt putin mai dificil de analizat cu instrumente traditionale. De ce este .NET atat de popular? Este practic un framework foarte modular... si multe instrumente traditionale nu pot analiza .NET foarte bine", a punctat Jan Miller.

Aceasta complexitate creeaza un "paradox al securitatii" pentru organizatii, a explicat Jack Madine, senior product manager la OPSWAT. Companiile sunt fortate sa aleaga intre o inspectie amanuntita a fisierelor, care este lenta si consuma resurse, si un flux rapid al datelor, care risca securitatea.

"Organizatiile trebuie sa aleaga intre inspectia amanuntita a amenintarilor si fluxul de date de mare viteza... s-a creat un blocaj pentru organizatii in procesarea acestor fisiere", a spus Madine.

Pericolul real, a adaugat el, este "problema 0,1%": amenintarile zero-day, necunoscute, care trec de detectiile statice. Solutia propusa de OPSWAT este un "pipeline de detectie zero-day" inteligent, structurat in patru straturi, care rezolva paradoxul viteza-securitate. "Nu este vorba despre a analiza mai putine fisiere, ci despre a analiza mai inteligent", a subliniat Madine.

Jack Madine, Senior Product Manager la OPSWAT: In contextul amenintarilor de tip zero-day, necunoscute, care trec de detectiile statice, companiile trebuie sa realizeze o analiza mai inteligenta a fisierelor

Tehnologia de baza a pipeline-ului, care a obtinut o eficacitate de 99,9% in detectie intr-un test independent AMTSO, inlocuieste sandboxing-ul traditional bazat pe Masini Virtuale (VM) cu emularea (simularea CPU si OS). Jan Miller a explicat ca sandbox-urile traditionale sunt lente, nescalabile si usor de detectat de catre malware.

Prin contrast, abordarea bazata pe emulare este construita pentru viteza si poate ocoli tehnicile de evaziune. "Deoarece adoptam abordarea emularii, simulam procesorul (CPU) si sistemul de operare (OS). Suntem capabili sa manipulam fluxul de control si sa ocolim tehnicile de evaziune. Stim ca exista geo-fencing... noi pur si simplu trecem direct prin ele", a completat Jack Madine.

O provocare majora in infrastructura critica este imposibilitatea utilizarii solutiilor cloud. Pipeline-ul OPSWAT este conceput si pentru medii "air-gapped" (izolate fizic), unde fisierele nu pot parasi perimetrul securizat.

"Avem multi clienti care nu pot transfera fisiere in afara perimetrului lor... Oamenii merg cu un stick USB intr-o alta camera si apoi le analizeaza intr-un mediu air-gapped", a concluzionat Miller.

Intrebat cum poate un incepator sa intre in domeniu, Jan Miller - fondator a doua companii de cyber pe care le-a vandut unor companii mai mari - a subliniat importanta pasiunii. "Cred ca trebuie sa ai dragoste pentru ceea ce faci si sa nu o faci doar pentru bani. Dar daca ai pasiune, aceasta se va traduce automat intr-un set de abilitati... Trebuie sa te ocupi de asta, sa vezi daca ai pasiune si apoi sa treci de pe partea intunecata pe partea luminoasa, iar apoi poti face niste bani in industrie".

Dispozitivele medicale critice ar avea nevoie o "cutie neagra" pentru date

Securitatea cibernetica a fost mult timp tratata ca un element secundar, un cost suplimentar, in special in industria dispozitivelor medicale. Aceasta abordare, in care confortul si rapiditatea implementarii au primat, a creat vulnerabilitati care, in acest domeniu, nu inseamna doar o pierdere de date, ci pot pune vieti in pericol.

"Securitatea cibernetica a fost intotdeauna considerata un adaos, corect? De cand a inceput internetul, a fost intotdeauna un cost. Iar noi vrem confort. (...) Dar acolo unde viata iti este in pericol, confortul nu ar trebui sa faca parte din ecuatie. Si, din pacate, face," a avertizat Dr. Adrian Smales, Data Instructor & Researcher, in cadrul prezentarii "Hacking the Human Heart".

Dr. Smales a explicat cum tranzitia de la dispozitivele sigure, bazate pe cuplaj inductiv (care necesitau proximitate fizica), la cele conectate prin Wi-Fi si 5G a deschis poarta atacurilor de la distanta.

"In 2006, FDA (Administratia SUA pentru Alimente si Medicamente) a inceput sa aprobe stimulatoare cardiace 5G complet wireless. Te pot accesa de oriunde din lume acum. (...) Daca chirurgul tau se poate conecta de oriunde din lume... daca poate el, cine altcineva mai poate?"

Expertul a reamintit un caz celebru din 2007, al unui inalt oficial american, ai carui medici i-au dezactivat functia Wi-Fi a stimulatorului cardiac de teama unui asasinat digital. "Acesta a fost primul exemplu in care asa ceva a fost considerat o amenintare reala," a spus Smales.

Vulnerabilitatea nu a fost doar teoretica. Dr. Smales a mentionat rechemarea a jumatate de milion de stimulatoare cardiace dupa ce s-a descoperit ca firmware-ul lor putea fi compromis.

Dr. Adrian Smales, Data Instructor & Researcher: acolo unde viata iti este in pericol, confortul nu ar trebui sa faca parte din ecuatie.

"Asta inseamna o jumatate de milion de operatii in plus pe care sistemul de sanatate trebuie sa le suporte. (...) Este o operatie pe cord," a spus el. Aceasta situatie expune pacientii la o forma extrema de ransomware: "Imaginati-va... primesti un e-mail care spune: CAvem toate detaliile stimulatorului tau cardiac. Vinde tot, da-ne banii sau te omoram.E Sugerez ca ai vinde totul".

Desi autoritatile, precum FDA, au inasprit regulile, obligand producatorii sa ofere o "lista de materiale software" (SBOM), Dr. Smales sustine ca industria omite elementul esential: criminalistica digitala (forensics).

"Nici macar cele mai recente standarde de securitate cibernetica in sanatate nu au identificat necesitatea ca dispozitivele critice pentru viata sa contribuie la dovezi digitale," a argumentat el. "Daca ai fi atacat, acel dispozitiv... ar trebui sa inregistreze (log) toate datele... Arata-mi adresa IP. Arata-mi adresa MAC de la care a venit acea instructiune. Avem de unde sa pornim".

Solutia propusa este impunerea prin lege a unei "cutii negre" pentru toate sistemele autonome, de la stimulatoare la masini robotice, similar cu standardul din aviatie.

Intrebat daca producatorii vor implementa voluntar aceste jurnale, Dr. Smales a fost categoric: nu o vor face pana nu vor fi fortati de lege, deoarece prioritatea lor este profitul.

"A fost la fel si in industria aviatica. Nu exista asa ceva ca o cutie neagra inainte ca avioanele sa inceapa sa cada din cer. (...) Producatorii ar putea sa o faca, dar este un cost. Si nu vor suporta costul de a o face pana nu vor fi fortati. (...) Siguranta nu este preocuparea lor principala".

Motivul pentru care aceste date sunt atat de vizate, a concluzionat cercetatorul, este valoarea lor superioara: "Datele medicale au o valoare de 4 pana la 10 ori mai mare decat datele financiare".

De ce nu poti securiza o rafinarie ca pe un laptop

Securitatea cibernetica in mediile industriale - cum ar fi rafinarii, centrale electrice sau fabrici de medicamente - opereaza dupa reguli complet diferite fata de securitatea IT dintr-o corporatie clasica. Daca in IT prioritatea este protejarea datelor, in Tehnologia Operationala (OT) prioritatea absoluta este continuitatea productiei si siguranta fizica a angajatilor. Acesta a fost mesajul central transmis de Sebastian Ciceu, Principal Engineer la Emerson, si Ioan Calauz, European Software Deployment Center Manager la Emerson.

Compania Emerson, care dezvolta sisteme de control distribuit (DCS) folosite la nivel global (inclusiv pentru trei din patru vaccinuri anti-COVID), se confrunta zilnic cu aceasta realitate.

Ioan Calauz a ilustrat perfect diferenta fundamentala, relatand prima sa vizita de evaluare la un client din sectorul petrol si gaze, dupa o cariera in infrastructura IT traditionala.

"Credeam la acel moment ca stiu totul despre securitatea cibernetica... Am mers la una dintre companiile noastre de petrol si gaze... Am gasit o multime de computere cu sisteme de operare la sfarsitul ciclului de viata (end of life), sisteme neactualizate (patched). (...) Eram foarte fericit. M-am intors la birou: "Va fi usor, in cinci luni inlocuiesc totul"".

Raspunsul clientului a fost insa un dus rece, care a subliniat prapastia dintre cele doua lumi: "Da, dar nu este posibil, nu puteti opri sistemul pana anul viitor, cand este programata oprirea (shutdown)".

Spre deosebire de un laptop care poate fi repornit pentru un update, o fabrica sau o rafinarie functioneaza 24/7/365. O "oprire programata" este un eveniment complex, planificat cu luni sau chiar ani in avans, care implica costuri de milioane de euro. Sistemele OT nu pot fi oprite pentru actualizari de securitate frecvente, ceea ce le lasa sa functioneze cu sisteme de operare vechi si vulnerabile.

Sebastian Ciceu (stanga), Principal Engineer la Emerson si Ioan Calauz, European Software Deployment Center Manager la Emerson au explicat de ce securitatea cibernetica in mediile industriale - cum ar fi rafinarii, centrale electrice sau fabrici de medicamente - opereaza dupa reguli complet diferite fata de securitatea IT dintr-o corporatie clasica

Aceasta fereastra de vulnerabilitate este speculata de atacatori. Spre deosebire de atacurile IT, cele din OT (precum Stuxnet) au cauzat daune fizice. Sebastian Ciceu a adaugat ca ransomware-ul modern vizeaza direct blocarea productiei pentru extorcare.

"O mare companie farmaceutica din Romania, acum doi ani, a fost atacata. Au fost blocati in afara sistemului lor, iar rascumpararea a fost de 500 de milioane de euro... Singura problema cu acea companie a fost ca nu aveau o solutie de backup si recuperare, deci nu aveau nimic de recuperat. Au inceput sa se intoarca la hartii".

Deoarece sistemele nu pot fi oprite, solutia este o strategie de "aparare in profunzime" (defense-in-depth), conforma cu standardul industrial ISA/IEC 62443. Aceasta presupune straturi multiple de securitate.

De exemplu, actualizarile (patch-urile) nu pot fi descarcate direct din internet. Ele sunt aduse intr-o zona "demilitarizata" (DMZ), intre mai multe firewall-uri, scanate, si abia apoi distribuite inteligent in reteaua interna, care nu este conectata la internet.

In medii si mai sigure, precum centralele nucleare, sistemele sunt complet izolate (air-gapped), iar actualizarile se fac manual, cu stick-uri USB. Pentru a securiza acest punct de intrare, Emerson foloseste Kiosk-ul MetaDefender de la OPSWAT, care scaneaza mediile amovibile cu peste 30 de motoare antivirus. "Livram sistemul cu rezultatele printate. Si spunem: "Uite, sistemul a fost... expediat de la noi cu zero malware pe el"".

Presiunea pentru adoptarea acestor masuri vine acum din doua directii: business si legislatie. Companiile doresc sa trimita datele din fabrica in cloud pentru analiza si optimizare, iar acest lucru necesita un transfer securizat, adesea printr-o "dioda de date" (care permite doar iesirea informatiei, nu si intrarea).

In acelasi timp, noua directiva europeana NIS2 forteaza companiile industriale sa isi asume responsabilitatea.

"NIS2 ii forteaza pe clienti sa recunoasca riscul de securitate cibernetica... cum vor raspunde la amenintari si, cel mai important, cum isi revin dupa aceea. (...) Nimeni pe lumea asta nu va va garanta ca... veti fi 100% securizati. Ideea este ca instalezi acele solutii si ai o sansa sa ripostezi... sa faci un control al daunelor (damage control)".

Deficitul de specialisti si evolutia rapida a amenintarilor, de la phishing la AI, forteaza companiile sa se concentreze pe rezilienta

Peisajul amenintarilor cibernetice din Romania se confrunta cu o dubla provocare: o crestere a complexitatii atacurilor pe fondul unui deficit strategic de personal calificat. Aceasta a fost una dintre concluziile principale ale panelului "Threat Landscape in Romania".

Problema fundamentala este cea a resurselor umane. "Directoratul National de Securitate Cibernetica a mentionat in rapoartele sale ca aceasta este o problema pentru Romania," a declarat Yugo Neumorni, Presedintele CIO Council Romania. Datele de la autoritati indica faptul ca "Romaniei ii lipsesc cel putin 3.000 de profesionisti in securitate cibernetica, iar acesta este un numar urias... decalajul dintre cerere si oferta creste de la an la an."

Romano Perini, Product Cybersecurity Officer la Aumovio, a nuantat problema, aratand ca deficitul nu este doar numeric, ci si calitativ: "Avem nevoie si de o specializare a acelor specialisti in diferite tehnologii si industrii, de la OT (Tehnologie Operationala)... pana la IoT (Internet of Things), embedded (sisteme integrate) si automotive." Solutiile pe termen scurt implica reconversia profesionala, a adaugat Alex Bertea, Security Operations Senior Manager la ProactiveHunt: "Incercam sa atragem talente din alte zone cheie. Majoritatea noilor mei colegi provin, sunt atrasi din alte domenii."

Acest deficit de personal survine intr-un context geo-politic complex. Yugo Neumorni a subliniat gravitatea situatiei, citand date oficiale. "Raportul de la Directoratul National de Securitate Cibernetica... In ceea ce priveste peisajul, nu arata bine deloc. (...) numarul atacurilor creste, atacurile devin mai sofisticate si... avem mai multe companii care au fost atacate, din infrastructurile critice nationale," a spus Neumorni. El a mentionat atacul ransomware asupra Electrica, unde "au reusit sa cripteze cam 4.000 de computere si 800 de servere. Deci a fost un atac foarte mare."

Neumorni a insistat ca Romania este o tinta directa. "Suntem sub atac si trebuie sa recunoastem acest lucru. (...) Nu este sdoart acum din cauza razboiului, se intampla de 10-15 ani. Dar acum, din cauza razboiului, suntem o tinta si trebuie sa admitem asta."

Pe langa tintele politice sau de spionaj, un nou front de conflict devine evident in sectorul industrial. Romano Perini a explicat ca industria auto, vizata anterior doar de atacuri cu motivatie financiara (furtul de masini), este acum reevaluata ca infrastructura critica.

Peisajul amenintarilor cibernetice din Romania se confrunta cu o dubla provocare: o crestere a complexitatii atacurilor pe fondul unui deficit strategic de personal calificat, au spus participantii la panelul "Threat Landscape in Romania", respectiv (de la stanga la dreapta): Alex Bertea, Security Operations Senior Manager la ProactiveHunt, Jack Madine, Senior Product Manager la OPSWAT, Yugo Neumorni, Presedintele CIO Council Romania si Romano Perini, Product Cybersecurity Officer la Aumovio. Panelul a fost moderat de Adrian Seceleanu, jurnalist ZF.

"Industria auto... in special in contextul unui conflict la granita NATO, poate deveni si este o infrastructura critica. Asa ca ma tem ca industria auto poate deveni foarte rapid un peisaj de amenintari foarte actual din cauza acestui statut de infrastructura critica D nevoia de a muta bunuri la marginea unui front," a punctat Perini. El a adaugat ca, spre deosebire de masinile vechi, "care sunt sigure din perspectiva securitatii cibernetice", pentru vehiculele noi reglementarile europene fac securitatea o necesitate absoluta. "Securitatea cibernetica in automotive este o necesitate (a must). Nu exista nicio negociere in aceasta privinta."

Pe frontul economic, atacurile devin mai accesibile si scalabile, vizand crima organizata. Jack Madine, Senior Product Manager la OPSWAT, a evidentiat explozia atacurilor de phishing: "Am vazut in trim. 3, trim. 4 o crestere de 703% a atacurilor bazate pe phishing. Si motivul pentru care exista o asemenea tendinta... este ca, in mod realist, nu ai nevoie de malware. O mare parte este inginerie sociala si apoi poti folosi AI pentru a-ti construi sabloanele de phishing sau chiar poti folosi phishing-as-a-service." Impactul este devastator, a mentionat Madine, amintind de atacul asupra Jaguar si Land Rover: "Linia lor de productie a fost complet offline timp de trei luni."

Aceasta realitate tehnica este confirmata "din transee" de Alex Bertea. "Top trei si top zece incidente pe care le-am gestionat au fost fara malware in stadiul initial. Au obtinut acces direct la sisteme si apoi au adus malware din exterior."

In fata acestor amenintari evoluate, strategia de aparare se schimba fundamental. Obiectivul companiilor nu mai poate fi preventia totala, ci rezilienta. "Este o cursa pentru a gasi acele atacuri devreme. Nu le vei preveni, dar trebuie sa le gasesti devreme. Si a existat o schimbare catre o rezilienta mai buna. Ok, vor fi multe atacuri. (...) odata ce ai atacul, trebuie sa iti revii rapid," a concluzionat Bertea.

Desi Inteligenta Artificiala face atacurile mai sofisticate si mai ieftine - "baietii rai folosesc intotdeauna tehnologia mai bine decat o folosim noi," a spus Neumorni - expertii au fost de acord ca majoritatea breselor de succes pot fi inca prevenite prin masuri elementare.

"Daca urmezi biblia securitatii cibernetice si igiena de baza cyber, atunci 95% dintre atacuri nu se vor intampla," a concluzionat Yugo Neumorni. "Fii sceptic, verifica lucrurile de trei ori," a completat Alex Bertea.

O mare vulnerabilitate a companiilor mari provine din lantul de aprovizionare

Costul global al criminalitatii cibernetice va atinge 10 trilioane de dolari in 2025, depasind PIB-ul combinat al Germaniei, Japoniei si Indiei si devenind, practic, a treia economie a lumii, dupa SUA si China. Acesta este avertismentul lansat de Yugo Neumorni, Presedintele CIO Council Romania si un veteran al managementului IT in sectoare critice precum energia (Hidroelectrica, ContourGlobal) si industria (Grupul Alro).

In cadrul prezentarii sale, Neumorni a subliniat ca aceasta cifra uriasa este, in realitate, subestimata. "Gartner a spus... ca 90% dintre atacuri nu sunt raportate. Doar un atac din zece... este raportat. Aceasta este o cifra uriasa. Practic, infractionalitatea cibernetica este o activitate pe care probabil nu am inteles-o prea bine".

Pentru a ilustra impactul real al unui atac, Neumorni a prezentat cazul Norsk Hydro din 2019, un gigant din industria aluminiului lovit de un atac ransomware, care a decis sa nu plateasca rascumpararea: "22.000 de computere au fost blocate, inclusiv cele industriale, si au avut 172 de fabrici care au fost perturbate complet. Au lucrat cu pixul si hartia timp de cateva saptamani. A fost un dezastru total".

Adevarata problema pentru marile companii din Romania, considera Neumorni, nu este neaparat propria securitate, ci vulnerabilitatea furnizorilor. "Exista o asa-numita inechitate cibernetica (cyber inequity). Pe scurt, companiile mari (enterprises) stau destul de bine cu securitatea cibernetica, dar intreprinderile mici si mijlocii nu".

Acesta a explicat ca IMM-urile, care adesea nu au resurse sau expertiza, devin poarta de intrare pentru atacuri devastatoare. "Daca ar fi sa transpunem acest lucru pentru situatia din Romania, companiile mari precum Petrom sau Hidroelectrica stau destul de bine. Dar daca mergi putin la IMM-urile romanesti... ele nu stau bine. Si ghiciti ce? Aceste companii sunt, in general, furnizori pentru companiile mai mari".

Cifrele confirma aceasta tendinta: "41% dintre companiile care au suferit o bresa materiala, satacult a fost cauzat de ce? De lantul de aprovizionare (supply chain). (...) Am luat un software de la o companie mica. Si acea companie mica a reusit sa instaleze in organizatia mea un malware." Acesta este motivul, spune el, pentru care noua directiva NIS2 pune un accent atat de puternic pe auditarea lantului de aprovizionare.

Yugo Neumorni, Presedintele CIO Council Romania: Adevarata problema pentru marile companii din Romania nu este neaparat propria securitate, ci vulnerabilitatea furnizorilor

In ce priveste sectorul energetic, unde are o experienta vasta, Neumorni a facut referire la documente oficiale ale ministerului de resort care descriau sectorul ca avand "deficiente majore". O problema o reprezinta sistemele invechite.

"O termocentrala pe carbune, o hidrocentrala, poate functiona cu usurinta cu sisteme de acum 30 de ani. (...) Nu poti face actualizarile. Nu poti face segmentarea," a explicat el. In fata acestei realitati, solutiile nu sunt cele IT traditionale, ci masuri de baza: "Realizati segmentarea in acel sistem de control industrial. Sincer, nimeni nu o face. (...) Implementati diode de date... realizati segmentarea. Nu mai folositi USB in acea zona".

Solutia pentru aceste amenintari nu consta doar in tehnologii noi, ci in respectarea unor principii vechi de 30 de ani. "Ar trebui sa aplicati "biblia cibernetica" ce este aceeasi de 30 de ani. Nimic nu s-a schimbat," a insistat Neumorni.

Primul pas este adoptarea mentalitatii "Assume Breach" (porniti de la premisa ca reteaua a fost deja compromisa), bazata pe datele IBM care arata ca dureaza in medie 277 de zile pentru a izola un atac. "Cand ma duc la birou dimineata, trebuie sa am mentalitatea ca cineva este in incinta mea, cineva mi-a penetrat deja reteaua. Trebuie sa-l gasesc".

Celelalte principii ale "bibliei" includ filozofia "Zero Trust" (Nu avea incredere in nimeni), testarea planurilor de raspuns la incident si, cel mai important, educatia angajatilor. "Daca aplici igiena cibernetica normala, 95%... sdin atacurit nu se vor intampla".

Reteta talentului in securitate cibernetica: Cum colaboreaza universitatile, cluburile de educatie non-formala si companiile din Timisoara pentru a acoperi deficitul urias de specialisti

Industria de securitate cibernetica se confrunta cu un paradox: in timp ce amenintarile devin tot mai complexe, deficitul de specialisti capabili sa le combata a ajuns la 2,1 milioane de posturi la nivel global, a avertizat Andreea Jebelean, HR Director Europa & META la OPSWAT. Solutia, conform panelului despre educatie de la Timisoara Cyber Forum 2025, nu mai poate veni dintr-o singura sursa, ci necesita un intreg ecosistem in care industria, mediul academic si educatia non-formala colaboreaza pentru a cultiva talentul de la o varsta cat mai frageda.

Andreea Jebelean, director de HR pentru Europa si regiunea META in cadrul OPSWAT a subliniat necesitatea urgenta de a largi baza de selectie, incepand educatia mult mai devreme.

"Cred cu tarie ca am avea beneficii uriase daca am introduce educatia despre cyber putin mai devreme. Si as fi suficient de curajoasa sa spun: in gimnaziu," a afirmat Jebelean. Ea a argumentat ca asteptarea pana la universitate are doua costuri majore: "Expunerea la tehnologie la o varsta foarte frageda ne-ar permite probabil sa construim un pipeline (o baza de selectie) mai puternica mai tarziu. Cred ca pierdem multe fete din aceasta conversatie daca le expunem la tehnologie doar mai tarziu." Al doilea cost este pierderea talentelor care nu au contact cu domeniul in familie: "Si pierdem copii care provin din familii non-tehnice. Daca tatal tau este medic, s-ar putea sa devii medic... Dar daca provii din medii care nu au fost neaparat educate in jurul tehnologiei, ai o sansa mare sa faci altceva. Si chiar cred ca pierdem talente introducand aceste cunostinte prea tarziu."

Mai mult, Jebelean a tinut sa demonteze mitul conform caruia securitatea cibernetica este un domeniu rezervat exclusiv inginerilor. "O cariera in cyber nu inseamna neaparat ca trebuie sa fii inginer. (...) Poti fi perfect fericit intr-un rol de Project Manager sau Product Manager (PM) sau chiar in marketing specializat pe industria de cyber. Deci, cyber inseamna mai mult, nu este egal cu inginerie si atat."

Acest ecosistem poate incepe cu pilonul non-formal de educatie, esential pentru a aprinde scanteia pasiunii. Radu Ticiu, Fondator al CoderDojo Timisoara, a explicat rolul unic al acestor cluburi: "Noi nu trebuie sa ne conformam unui set specific de rezultate pe care vrem sa le vedem la copiii nostri. (...) noi, ca un context de educatie non-formala, ne putem juca, ii putem amesteca si putem construi pe pasiunea lor si le putem oferi un cadru (framework) in care sa invete unii de la altii, sa exploreze."

Deficitul de specialisti in cybersecurity a ajuns la cateva milioane de posturi la nivel global, au avertizat participantii la panelul dedicat planurilor de cariera in industrie, la care au participat (de la stanga la dreapta): Matei Macsinga, Software Engineering Team Lead la OPSWAT, Andreea Jebelean, director de HR pentru Europa si regiunea META in cadrul OPSWAT, Cosmin Bonchis, Decanul Facultatii de Matematica si Informatica din cadrul UVT, Radu Ticiu, Fondator al CoderDojo Timisoara si Razvan Bogdan, Prodecan la Universitatea Politehnica Timisoara (UPT). Panelul a fost moderat de Adrian Seceleanu, jurnalist ZF.

Rezultatele acestei abordari sunt vizibile. "Se intampla destul de des ca elevii nostri de clasa a opta sau a noua sa concureze in competitii studentesti si sa provoace daune majore, castigand destul de des," a adaugat Ticiu. Pentru a mentine interesul si a evita frustrarea incepatorilor, Ticiu a mentionat ca inoveaza constant: "Incercam sa generam ceea ce numim CTF educational. Oprim procesul, analizam si ii rugam pe cei care performeaza bine sa fie mentori... intregul proces va fi mult mai prietenos."

Pasiunea cultivata de CoderDojo este apoi preluata de pilonul academic, unde este structurata. Cosmin Bonchis, Decanul Facultatii de Matematica si Informatica din cadrul UVT, a confirmat ca diferenta se vede in dedicarea studentilor. "Avem o echipa de studenti care incep din anul intai... Ei stau mai mult decat la cursuri si seminarii, stau efectiv in universitate. Incearca sa sparga (hack) ceva," a spus Bonchis. Acesta a subliniat ca, dincolo de curricula, motorul este curiozitatea: "Singura scalet este sa continui sa inveti in acest domeniu, daca esti curios si daca pasiunea e acolo".

La randul sau, Razvan Bogdan, Prodecan la Universitatea Politehnica Timisoara (UPT), a detaliat modul de colaborare cu industria. "Avem o discutie continua cu industria si dorim sa vedem care sunt asteptarile". Aceasta colaborare este concreta: "Avem o colaborare frumoasa cu compania OPSWAT care este foarte implicata in cursuri specifice (...). Ei pun la dispozitia studentilor proiecte precum OPSWAT Academy". Mai mult, UPT introduce cursuri noi, precum "Engineering Leadership", predate direct de companiile partenere, pentru a dezvolta si abilitatile interpersonale cerute de angajatori.

Validarea acestui model de dezvoltare a fost reprezentata de prezenta in panel a lui Matei Macsinga, Software Engineering Team Lead la OPSWAT. El a fost promovat in rolul de Team Lead in doar doi ani de la angajare, ilustrand parcursul accelerat pe care il poate avea un tanar pregatit de acest ecosistem.

Andreea Jebelean a oferit contextul: "Practic asta s-a intamplat cu Matei. A aplicat pentru un rol de internship. Iar noi ne uitam la Matei si spuneam: "Ok, el nu e potrivit doar pentru internship, ci pentru mai mult de atat"." Datorita cunostintelor si atitudinii demonstrate, "el s-a alaturat companiei direct ca junior; a sarit peste programul de internship."

Andreea Jebelean, director de HR pentru Europa si regiunea META in cadrul OPSWAT: O cariera in cyber nu inseamna neaparat ca trebuie sa fii inginer. Poti fi perfect fericit intr-un rol de Project Manager sau Product Manager (PM) sau chiar in marketing specializat pe industria de cyber. Deci, cyber inseamna mai mult, nu este egal cu inginerie si atat.

Matei Macsinga a atribuit succesul sau atat pasiunii cultivate timpuriu, cat si momentului oportun: "Pentru mine... intrarea principala in lumea programarii in general a fost... CoderDojo,". El a adaugat: "Cand am intrat in companie... nu era o echipa atat de mare. (...) Daca atunci te concentrezi si depui efort, cred ca poti evolua rapid. Dar, din nou, chiar cred ca este o chestiune de moment, de timing."

Concluzia panelului a fost ca responsabilitatea pentru cresterea noii generatii este una comuna. "Sunt foarte increzatoare in puterea comunitatii. (...) Mesajul meu ar fi pentru cei care au reusit deja in domeniu: nu uitati cat de dificil a fost inceputul pentru voi. Fiti voluntari, deveniti mentori... Depinde de voi sa dati ceva inapoi comunitatii care a investit odata in voi," a incheiat Andreea Jebelean.

Avertisment: Dependenta de AI erodeaza gandirea critica

Adevarata amenintare a Inteligentei Artificiale nu o reprezinta robotii malefici, ci erodarea tacuta a abilitatilor cognitive umane - un fenomen recent denumit de Dictionarul Oxford "brain rot" - care ne lasa mai putin capabili sa detectam dezinformarea, sa scriem cod sigur si sa gandim critic. Acesta este avertismentul provocator lansat de Tudor Damian, consultant cu peste 20 de ani de experienta in securitate si infrastructura, co-fondator al D3 Cyber si multiplu premiat Microsoft MVP.

Pentru a demonstra cat de usor este de manipulat realitatea, Damian si-a inceput prezentarea cu un clip video deepfake cu unul dintre cei mai cunoscuti politicieni la nivel global care le ura bun venit participantilor de la conferinta din Timisoara, generat de el in 10 minute in camera de hotel, folosind instrumente AI gratuite.

Pericolul major, sustine Damian, este ca aceste noi tehnologii lovesc o populatie globala deja vulnerabila cognitiv. El a evidentiat statistici ingrijoratoare privind declinul abilitatilor fundamentale, mentionand ca in timp ce in SUA 21% dintre adulti sunt considerati analfabeti functional, studiile pentru Romania indica un procent de 40-42%. "Peste 70% sdintre romanit citesc zero carti pe an. De ce ai citi carti daca ai TikTok, nu?".

Aceasta dependenta de consumul digital pasiv a dus la prabusirea duratei medii de atentie (attention span) de la doua minute si jumatate in 2004, la aproximativ 8-12 secunde astazi. "Daca nu poti capta atentia cuiva in primele 7, 8, 10 secunde, l-ai pierdut. Aceasta este realitatea cu care ne confruntam. De aceea oamenii nu pot citi doua paragrafe". Acest fenomen, combinat cu "Efectul Google" sau "amnezia digitala", ne transforma in "oameni-clatita" (pancake people) D "intinsi pe o suprafata mare si subtiri", incapabili de profunzime, dar avand iluzia cunoasterii.

Pe acest fond de erodare cognitiva, infractorii cibernetici folosesc AI-ul ca arma. Damian a mentionat aparitia uneltelor precum "WormGPT" si "FraudGPT", folosite pentru a genera atacuri de phishing sofisticate, intr-o gramatica perfecta, in limba locala. "Nu mai este o engleza stricata cu greseli de ortografie. Pentru ca baietii rai folosesc AI pentru a scrie acele lucruri".

Tudor Damian, consultant cu peste 20 de ani de experienta in securitate si infrastructura, co-fondator al D3 Cyber: Daca nu poti capta atentia cuiva in primele 7, 8, 10 secunde, l-ai pierdut. Aceasta este realitatea cu care ne confruntam. De aceea oamenii nu pot citi doua paragrafe

Varful amenintarii il reprezinta deepfake-urile in timp real: "Un caz popular a fost la inceputul anului trecut, cand un angajat din finante a platit 25 de milioane de dolari pentru ca cineva a facut un deepfake video in timp real intr-un apel Zoom, al CFO-ului (Directorului Financiar) sau. (...) I-auzi vocea si ii vezi fata, si daca el spune asta, e suficient de bun".

Aceeasi erodare a gandirii critice provoaca daune si in interiorul companiilor. Tudor Damian a criticat noul trend numit "vibe coding" (programare prin instructiuni oferite unor LLM-uri), unde dezvoltatorii cer AI-ului sa genereze cod fara a-l verifica temeinic. "Problema e ca asta aduce o multime de probleme la pachet. (...) face codul vulnerabil la atacuri standard. La cele mai de baza atacuri: injectii (injections), buffer overflows (depasiri de buffer), lucruri de genul asta". Citand un raport al Google, el a aratat ca "pentru fiecare crestere de 25% in utilizarea AI, aceasta duce la o scadere de 7,2% in stabilitatea livrarii. Deci e mai rapid, dar e mai prost".

Chiar si echipele de securitate (SecOps) sunt coplesite. "Oboseala generata de alerte" si "bias-ul de automatizare" (increderea oarba in unealta) ii fac pe analisti sa ignore peste 50% din alerte, iar 60% dintre cele ignorate se dovedesc a fi critice. "Companiile au nevoie de aproximativ 56 de minute timp de asteptare - de cand vine alerta pana cand se uita cineva la ea. Si apoi 70 de minute timp mediu de investigare. Si dureaza doar cateva secunde sau minute sa exfiltrezi date".

Solutia propusa de Damian nu este respingerea tehnologiei, ci reconstruirea disciplinei cognitive. El indeamna la meta-invatare (a invata cum sa inveti) si la intarirea abilitatilor fundamentale: rezolvarea problemelor, gandirea critica si rationamentul logic.

Regula de aur, spune el, este sa folosesti AI-ul doar pentru lucruri pe care le poti verifica: "Greseala este sa ceri AI-ului sa faca ceva ce tu nu poti face singur si apoi sa folosesti acel srezultatt in locul propriei munci... Asta inseamna doar ca AI-ul tocmai te-a inlocuit". El a concluzionat pledand pentru o abordare de tip "gandeste intai, apoi asista": "Folositi AI-ul pentru a va asista in a face ceea ce ati putea face singuri, dar puteti folosi AI-ul pentru a o face mai repede, si apoi puteti valida ca rezultatul pe care vi l-a dat este apropiat de ceea ce ati fi facut voi".

Pericolul "pepenelui verde" in securitate cibernetica

In contextul noilor directive europene precum NIS2 si DORA, intrebarea fundamentala pentru fiecare director general nu mai este daca investeste in securitate, ci cum o face. Multi executivi se concentreaza pe conformitate (compliance) D o iluzie a sigurantei bazata pe bifarea unor cerinte D cand, de fapt, singura strategie viabila este rezilienta (resilience). Acesta este avertismentul lansat de George Dragusin, Cyber Advisor la ProVision si fost presedinte al Comisiei IT&C de Securitate din cadrul Asociatiei Romane a Bancilor, in cadrul Timisoara Cyber Forum 2025.

Cu o experienta de peste 15 ani in securitate cibernetica, majoritatea in sectorul bancar, Dragusin sustine ca marea capcana in care cad organizatiile este "problema pepenelui": "La exterior totul e verde, dar in interior e rosu. Poti avea rapoarte impecabile, poti trece un audit cu brio, dar la primul atac real sistemele cedeaza in cateva minute".

El a subliniat diferenta fundamentala dintre cei doi termeni: "Intrebarea pe care o primesc des de la directorii generali: CDaca sunt compliant, inseamna ca sunt si securizat?E Raspunsul este: nu neaparat. Compliance-ul este o fotografie de moment. (...) Securitatea inseamna sa fii pregatit pentru necunoscut. Sa stii cum reactionezi cand ceva merge prost. (...) Compliance-ul te ajuta sa treci auditul. Resilience te ajuta sa treci criza".

Problema, spune Dragusin, este ca in 2025 fiecare CEO conduce, de fapt, o companie de tehnologie, indiferent de domeniu. Iar noile reglementari, precum NIS2, fac managementul superior direct raspunzator pentru esecurile de securitate. "Nu mai e suficient sa spui "nu am stiut" sau "nu mi-a spus CISO-ul". Ignoranta nu mai e o scuza legala".

George Dragusin, Cyber Advisor la ProVision, a definit "problema pepenelui" din cyber: "La exterior totul e verde, dar in interior e rosu. Poti avea rapoarte impecabile, poti trece un audit cu brio, dar la primul atac real sistemele cedeaza in cateva minute"

Pentru a ilustra costul lipsei de rezilienta, expertul ProVision a invocat cazul Jaguar Land Rover (JLR). Un atac ransomware venit printr-un furnizor din lantul de aprovizionare a blocat complet infrastructura. "Peste 34.000 de angajati directi si 100.000 de lucratori din lantul de productie au fost afectati. Pierderile estimate: 50 de milioane de lire sterline pe zi. (...) statul britanic a fost nevoit sa intervina cu un imprumut de 1,5 miliarde de dolari pentru a evita prabusirea economica". In medie, o companie lovita de ransomware sta blocata 20 de zile.

Spre deosebire de business, industria aviatiei a inteles de mult importanta guvernantei reale. "Motivul pentru care ne urcam linistiti intr-un avion nu e doar increderea in compania aeriana. Este increderea intr-un sistem intreg de compliance, guvernanta si responsabilitate," a explicat Dragusin.

Solutia pentru companii este sa accepte realitatea ca vor fi atacate si sa exerseze reactia. "Asta este rezilienta - sa exersezi caderea, ca sa poti reveni mai repede. (...) Nu poti invata sa reactionezi la un atac cibernetic in timpul atacului".

Dragusin a concluzionat cu o distinctie clara de business: "Intotdeauna le spun directorilor: compliance-ul este o investitie, iar non-compliance-ul este o cheltuiala. A fi conform costa bani, dar a nu fi conform costa mult mai mult. Trebuie sa tintesti resilience, nu doar bifarea casutei ca ai facut ceva".

Jenny Radcliffe, "The People Hacker": 95% din brese implica factorul uman. Atacatorii nu exploateaza prostia, ci politetea, empatia si emotiile

Invitatul principal al Timisoara Cyber Forum 2025, Jenny Radcliffe, cunoscuta la nivel global ca "The People Hacker" si membra a InfoSec Hall of Fame, a transmis o idee fundamentala: companiile investesc miliarde in firewall-uri, dar neglijeaza cea mai importanta componenta a oricarui atac D omul.

Cu o cariera de peste douazeci de ani in care a fost angajata legal pentru a se infiltra in corporatii, banci si centre de date, Radcliffe a demonstrat ca ingineria sociala nu se bazeaza pe magie tehnica, ci pe exploatarea psihologiei umane: "95% din bresele de securitate au la baza o eroare umana. Dar asta nu inseamna ca oamenii sunt veriga slaba. Inseamna ca ei sunt tinta."

Radcliffe a detaliat modul in care ingineria sociala nu se bazeaza pe defecte tehnice, ci pe exploatarea emotiilor umane fundamentale pentru a scurcircuita gandirea rationala. Ea a explicat cum atacatorii folosesc declansatori specifici, cum ar fi frica, lacomia, curiozitatea, empatia si furia, pentru a manipula oamenii.

Ea a aratat cum campaniile de succes sunt adesea cele care creeaza un sentiment fals de urgenta sau panica (folosind uneori tehnologii avansate pentru a spori credibilitatea) ori care provoaca o reactie emotionala puternica, precum indignarea, pentru a determina o actiune impulsiva.

Jenny Radcliffe, cunoscuta la nivel global ca "The People Hacker" si membra a InfoSec Hall of Fame: "Cultura organizationala conteaza mai mult decat regulile. Daca oamenii simt ca pot recunoaste un incident fara a fi criticati, o vor face".

Jenny Radcliffe a criticat ferm abordarea traditionala a industriei de a eticheta angajatii drept "veriga cea mai slaba". Ea si-a exprimat dezacordul cu aceasta viziune, argumentand ca oamenii pot invata si se pot adapta.

Problema fundamentala, a sustinut Radcliffe, nu este ca oamenii sunt neglijenti, ci, paradoxal, ca sunt "prea" serviabili. Ea a explicat ca societatea ii antreneaza pe oameni sa fie politicosi si sa ajute, iar atacatorii exploateaza exact aceasta trasatura pozitiva, nu un defect de inteligenta.

Solutia, prin urmare, nu este sa pedepsesti angajatii, ci sa construiesti o cultura a transparentei. "Cultura organizationala conteaza mai mult decat regulile. Daca oamenii simt ca pot recunoaste un incident fara a fi criticati, o vor face. Daca se tem sa fie pedepsiti, vor ascunde greselile, si atunci pierdem timp pretios. Asa ca, in loc sa spunem "nu faceti clic pe linkuri", ar trebui sa spunem "daca ati facut clic, spuneti-ne imediat". Transparenta si colaborarea salveaza organizatii, nu perfectiunea."

Pentru publicul larg, Jenny Radcliffe a oferit o regula simpla de aparare impotriva majoritatii atacurilor de inginerie sociala, bazata pe detectarea a cinci semnale de alarma: urgenta (cere actiune imediata), emotia (induce frica sau entuziasm), autoritatea (pretinde ca vine de la un sef), curiozitatea si banii.

"Daca apare oricare dintre acestea, opreste-te. Verifica printr-un alt canal. Nu actiona impulsiv."

Jan Miller, CTO & threat analysis, OPSWAT: Bariera, nivelul de intrare pentru amatorii care vor sa creeze malware este mai scazut. Pentru ca poti folosi AI... pentru a genera malware. Deci este mult mai usor in zilele noastre sa generezi un potop de variante de atacuri si apoi, practic, sa faci un atac de tip DDoS asupra mediilor tinta cu un potop de fisiere.

Andreea Jebelean, director de HR pentru Europa si regiunea META in cadrul OPSWAT: O cariera in cyber nu inseamna neaparat ca trebuie sa fii inginer. Poti fi perfect fericit intr-un rol de project manager sau product manager sau chiar in marketing specializat pe industria de cyber. Deci, cyber inseamna mai mult, nu este egal cu inginerie si atat.