De ce companiile nu isi mai pot permite sa lase securitatea pe un nivel secundar

0

cyber

Securitatea cibernetică (cybersecurity cum e la modă să spui) este una dintre zonele ce nu ar trebui să fie evitate/minimizate de nicio companie și de niciun manager căruia îi pasă de viitor. De ce?

Pentru că e o chestiune de ”când” vor apărea problemele de securitate și nu de ”dacă”. Iar când un astfel de incident o să apară, e de dorit ca impactul să fie minim, cu costuri cât mai mici, ca să permită companiei să își poată continua activitatea.

Pe marginea acestui subiect am stat de vorbă săptămâna trecută cu doamna Johnnie Konstantas, Senior Director, Enterprise Cybersecurity Group at Microsoft, unul dintre speakerii conferinței Microsoft Summit 2017, ce va avea loc pe 7 noiembrie la București.

Știați că unul din trei CEO ai companiilor mari din Europa (și din lume) au fost afectați de scurgerea informațiilor personale în mâinile hacker-ilor, de cele mai multe ori ca urmare a faptului că anumite servicii pe care le foloseau cu date de identificare asociate companiei, au ajuns să fie sparte și bazele de date extrase și decodate?

Apropo, intrați pe ”have i been pwned” și verificați dacă nu cumva și datele voastre sunt pe acolo. Baza de date este actualizată aproape săptămânal și cuprinde oesre 4,7 milioane de conturi ce au fost extrase din 247 de site-uri.

Totodată, cam unul din patru oameni cu acces la internet și email cad în plasa phishingului, oferindu-și de bunăvoie datele de identificare pentru diverse servicii, fără ca măcar să își dea seama. Sistemul e eficient și exploatează lipsa de informare (sau nivelul scăzut) al angajaților, în special (sau chiar și?) a celor din zona top management.

Ca să nu mai zic și că undeva la 60% dintre startup-urile (și companiile) afectate de o problemă de securitate ajung să își închidă activitatea în următoarele șase luni de după incident. Cam trist, nu?

Într-un astfel de context, își mai pot permite companiile să diminueze importanța securității cibernetice și educația personalului vizavi de acest domeniu?

Eu zic că nu.

Servicii închiriate, instrumente complexe de hacking, ușor de folosit

Nimeni nu își mai permite luxul să stea și să aștepte ca un astfel de incident să se întâmple. De îndată ce problema va apărea, apar și urmări legate de reputația sa, de încrederea clienților, ceea ce la final va conduce la probleme financiare.

Pentru că oricine e conectat la internet este nevoit să facă față zilnic diferitelor tipuri de probleme – de la spam, phishing, infecții cu malware către atacuri țintite (sau nu). Orice organizație (cu cât e mai mare și mai diversă cu atât e mai expusă) are în componență câte un Gigel (sau o Lenuță) care va deschide orice email venit ”personalizat” pe adresa lui, cu propuneri interesante de a face bani sau poze delicioase, de la necunoscuți, sau de la un alt Gigel sau o Lenuță, prieten, bineînțeles. Pentru că niciodată așa ceva nu o să i se întâmple chiar lui, cel care știe multe, din varii domenii.

E de ajuns ca browser-ul său deschidă un link special creat ca să aducă pe sistem malware capabil să exploateze găurile de securitate din browser-ul (neactualizat) sau unul dintre serviciile folosite. Și e suficient ca malware-ul să pătrundă în rețeaua companiei, de unde să înceapă să își facă de cap.

Poate scapă doar cu un malware ”simpluț” care doar redirecționează traficul, eventual mai rămâne cu discul criptat. Sau mult mai rău (deși nu mi se pare că infecțiile de tip ransomware, sunt ceva banal) din cauza lui sunt extrase date de identificare pentru clienți, parole, carduri de credit etc.

Și nici măcar nu e foarte complicat să se întâmple asta: mulți încă spun că ei sunt prea mici, nesemnificativi ca să fie atacați. Doar ”bibanii” mari sunt ținta atacurilor.

Complet greșit!

Sunt ”băieți” sau ”fete” care vor să fie hackeri și testează aleator diverse instrumente găsite pe forumurile de pe darkweb. Există și grupurile specializate, care, pentru niște sume accesibile, vor presta atacuri la comandă cu șanse mari de reușită. Și bineînțeles, sunt acele tipuri de atacuri țintite, create de entități cu vaste resurse, unde nici măcar companiile de securitate nu pot rezista în primă fază.

image

Toate scenariile de mai sus sunt posibile, cu toate că motivația celor ce le vor executa poate să difere. De la simplul motiv de laudă, hacktivism, la bani și avantaje, spionaj industrial, toate sunt valide și ușor de regăsit în realitate.

Ce este de făcut?

Sunt oameni specializați care își oferă serviciile de consultanță pentru rezolvarea acestor probleme. Inclusiv pot să fie contractați să se ocupe de construirea și păstrarea securității din interiorul companiilor – chestie ce am văzut că prinde tot mai mult având datorită responsabilității împărțite între beneficiar și cel ce oferă serviciul (40% dintre companii vor face asta în viitorul apropiat). Ei știu mult mai bine decât mine ce e de făcut.

(Aproape) toată lumea investește în securitate, în servicii și în produse, în creșterea competenței angajaților. Milioane de EURO se duc anual pe securitate și cu toate astea auzim de tot mai multe probleme, atacuri, baze de date ajunse pe internet, infecții majore. Cum de încă se întâmplă așa ceva?

Probabil că investițiile nu se duc acolo unde trebuie. Sau poate că regulile de securitate impuse nu se aplică pentru toți – tot timpul cineva are nevoie de o excepție pentru că altfel nu se poate. Ori nu mai funcționează vreun serviciu, ori vreun manager nu mai ajunge la nu știu ce beneficiu și atunci e nevoie de o excepție de la reguli, ceea ce la final duce la o portiță de intrare, ce devine rapid vulnerabilitate ușor de exploatat.

Lucrul elementar, care din păcate nu e folosit la scară mare, este autentificarea în doi pași și/sau soluții complexe care să impună și să păstreze ID-uri și parole complexe, fără posibilitatea de reutilizare. Plus soluții eficiente de filtrare pentru SPAM și phishing. Imediat după ele vine lipsa aplicării constante și rapide a update-urilor de securitate pe aceleași criterii legate de funcționalitatea business-ului: nu pui nu știu ce patch de Windows sau browser pentru că îți strică nu știu ce alt serviciu și nu vrei asta. Alegi să lași o breșă de securitate ce va ajunge să fie folosită.

Apropo, știți care e costul asociat pierderilor de date? Cele mai mari sunt în sectorul medical, e clar asta pentru toată lumea.

ponemon

Un studiu Ponemon arată că există variații importante între regiuni și domenii de activitate, de la 221 USD în SUA, 212 în Germania și doar 100 USD în Brazilia și doar 61 USD în India. La nivel mondial, costul mediu al pierderii unei înregistrări din baza de date era undeva la 158 USD în 2016, cu o maximă de 355 USD în domeniul healthcare, 221 USD în financiar și 246 USD în educație.

Când știi că un astfel de incident ți se poate întâmpla și ție, vrei să găsești modalități să minimizezi impactul, chestie ce se poate realiza prin multe modalități.

final-breachcostreduction-siweb-v2

Un alt studiu IBM arată că dincolo de sisteme și proceduri și plan de răspuns pentru incidente, măsurile care au ajutat cel mai mult la reducerea problemelor au fost crearea și antrenarea unei echipe de răspuns la incidentele de securitate și care avea și planurile în picioare, introducerea și păstrarea unor politici complexe de criptare în interiorul organizațiilor și nu în ultimul rând trainingul (REAL) al angajaților vizavi de securitate.

Privind spre viitor, cu perspectiva adopției tot mai mare a cloud-ului, a exploziei IoT și a creșterii curentului BYOD (Bring your own device), cu mobilitatea fiind cuvântul de ordine, securitatea la nivel de companie nu mai e deloc un lucru simplu. Complexitatea atrage după sine reguli mai complexe – aici migrarea către cloud va ajuta, pentru că vor fi introduse politici mai puternice, care ajută la regândirea actualei situații.

Extra: și vine și GDPR

General Data Protection Regulation e cea mai importantă schimbare în cea ce privește legislația de colectare, manevrare și stocare a datelor personale, realizată în ultimii 20 de ani. Până acum s-au făcut pași mici vizavi de modul în care datele personale au fost colectate, manipulate și comunicate. E cazul să se treacă la următorul nivel și UE a fost promotorul schimbării. Vrem sau nu, din 2018 cu toții o să fim afectați de GDPR iar unul dintre aspectele cele mai importante este cel legate de securitatea datelor stocate.

Și așa ajung de unde am plecat: și din acest motiv securitatea nu mai este un lucru care să fie lăsat deoparte în nicio companie. Prin forțarea aplicării GDPR, companiile vor ajunge să înțeleagă mai bine procesul prin care datele sunt colectate, cum sunt transferate și stocate și așa vor putea să le securizeze mai bine.

V-am dat de gândit?

Așa și trebuie. Mi-aș dori să văd că tot mai multă lume măcar se informează mai temeinic despre securitate, dacă nu și încep să aplice tot mai multe măsuri în această direcție. Și v-am dat și un motiv să ajungeți la Microsoft Summit 2017 și să vedeți ce mai e nou prin tehnologie, inclusiv în zona de securitate la nivel enterprise.

imageDupă cum îmi spunea Johnnie Konstantas ”companiile trebuie să înțeleagă securitatea cibernetică ca  pe un instrument prin care își maximizează șansele să rămână în business cât mai mult posibil. Se știe că problemele vor apărea, mai ales acolo unde este implicat factorul uman.

Important este să se înțeleagă că este necesar să se reducă riscul, probabilitatea ca o problemă să atragă după sine pierderi financiare mari.”

Și ”dacă unui atacator îi va lua mai mult timp să spargă o companie față de alta, o va prefera pe cea unde e mai ușor. Asta dă celei dintâi posibilitatea să își desfășoare activitatea mai mult timp, probabil mai bine, să evolueze, din toate punctele de vedere.

Iar asta este de fapt esența paradigmei transformării digitale: ne transformăm și noi și organizațiile, pentru a trăi mai bine și a lucra mai ușor, eficient”.

Pe ideea asta, mergeți la prezentarea lui Johnnie de la MS Summit 2017, că nu o să regretați.

Și poate ne vedem pe acolo.

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here