Dacă citiți acest articol, sunt șanse foarte mari să îl fi accesat de pe telefon. Nu ar fi ceva neobișnuit: în 2020, în jur de 68% din vizitele pe site-uri web au provenit de pe dispozitive mobile, în creștere cu 5% față de anul precedent. Această evoluție este doar un exemplu simplu, de zi cu zi, care arată cât de rapid se produce transformarea digitală. Un fenomen care a început de mai bine de 30 de ani este, abia în ultima perioadă, mai ușor perceput și îndelung analizat.
Digitalizarea este și despre oameni
Regulile de distanțare socială impuse ca urmare a pandemiei au accelerat, dacă nu chiar forțat, și mai mult procesul de digitalizare. Lucrul de acasă, utilizarea platformelor sociale și a unor noi aplicații, echipamente sau servicii de infrastructură au accentuat nevoia noastră de soluții tehnologice. La rândul lor, companiile s-au axat pe soluții de automatizare și pe modernizarea cu noi capabilități. Numărul de utilizatori digitali a crescut, iar din ce în ce mai multe date au fost mutate și în mediu digital – iar aici ne referim în mod special la transferul datelor către soluții de tip cloud.
Însă digitalizarea nu este doar despre sisteme și infrastructuri. Digitalizarea este și despre oameni. Ei sunt cei care le folosesc și care trebuie să conștientizeze atât beneficiile de care pot avea parte, cât și riscurile la care se expun. Lipsa de experiență digitală, din păcate, lasă ușa deschisă criminalității cibernetice. Este nevoie de o simplă conexiune la internet pentru a deveni o potențială țintă a unui atacator. Astfel, factorul uman este prima cauză a breșelor de securitate.
Atacuri cibernetice în România
Comparativ cu alte state europene, România se adaptează mult mai greu proceselor tehnologice. De asemenea, există încă tendința de a considera că atacurile cibernetice vizează doar persoane care se bucură de o anumită reputație sau doar companii mari, globale. Astfel, există prea puține măsuri de prevenție, detecție sau răspuns luate împotriva unor astfel de incidente. Conform unui studiu recent, România se clasează pe ultimele locuri din Europa în ceea ce privește securitatea cibernetică.
În ultimii ani, sectoare de activitate variate au fost ținta atacurilor cibernetice. Probabil că cele mai mediatizate au fost atacurile cu ransomware, lansate către instituții medicale din țară. Prin ransomware, infractorul cibernetic criptează datele dintr-o rețea și cere victimei sume uriașe de bani ca răscumpărare pentru a debloca aceste date. Cel mai recent este cazul spitalului Witting, care, în luna iulie 2021, a fost victimă a unui atac cu aplicația ransomware cunoscută sub numele de Phobos. Acest program a mai fost utilizat în cazul unor atacuri similare ce au avut loc în 2019 asupra a patru spitale. Chiar dacă vorbim de o aplicație ransomware cu un nivel de complexitate mediu, atacul cu Phobos a avut succes din cauza lipsei unor soluții antivirus. Această serie de atacuri a evidențiat, astfel, nivelul scăzut de securitate cibernetică din cadrul sistemului medical și nevoia de implementare a unor măsuri și politici de securitate.
La doar câteva luni distanță, Facultatea de Electronică din cadrul Universității Politehnice din București a fost ținta atacatorilor cibernetici. Aceștia au extras listele și unele date personale ale utilizatorilor platformei care asigura interfața dintre studenți și secretariat. Reprezentanții facultății au declarat că s-au confruntat de-a lungul timpului cu nenumărate atacuri. Acesta este primul care a avut succes, întrucât platforma vizată folosea o funcție de interfață mai veche.
Sectorul bancar este, la rândul lui, o țintă foarte populară a atacurilor, în special a celor de tip phishing. Prin acestea, atacatorii se folosesc de imaginea unei instituții legitime pentru a obține (prin e-mail, SMS, social media sau chiar apel telefonic) acces la datele personale ale clienților și, ulterior, la resursele financiare ale acestora. Un exemplu recent este oferit de ING Bank. În acest caz, atacatorii au trimis clienților băncii SMS-uri care păreau legitime. Prin acestea, însă, cereau actualizarea unor date personale prin SMS, o practică neobișnuită pentru ING. Atacurile cu phishing sunt foarte comune și în cazul platformelor de tip marketplace, precum OLX sau Publi24, unde comunicarea se face în mod special prin e-mail sau mesaje directe.
Din păcate, acestea sunt doar câteva exemple. Numărul real al atacurilor cibernetice din România este mult mai mare. În 2021, CyberInt a identificat peste 16.000 de atacuri doar cu cea mai cunoscută aplicație de ransomware – Locky. De asemenea, în 2020, lucrul de acasă a favorizat perpetuarea atacurilor de tip phishing. Așa cum arată un studiu recent al Orange România, acestea au totalizat 32% din totalul atacurilor monitorizate. Conform aceluiași studiu, cele mai multe amenințări cibernetice (29%) au fost de nivel critic. Totodată, București, Iași și Timișoara sunt orașele cel mai căutate de către infractorii cibernetici. Nu în ultimul rând, seria de rapoarte în timp real de la Orange indică în mod constant existența a cel puțin 100.000 de incidente de securitate în ultimele 7 zile monitorizate.
Conștientizarea – un pas important în prevenirea atacurilor cibernetice
Exemplele prezentate mai sus ne arată foarte clar că atacurile cibernetice pot fi lansate asupra instituțiilor din mediul public și privat sau chiar asupra persoanelor fizice și juridice deopotrivă. De aceea, prevenția în acest domeniu nu este doar o responsabilitate a echipelor interne de IT sau a echipelor specializate, ci o responsabilitate a fiecăruia dintre noi, în calitate de utilizatori digitali.
Pentru a ne îndeplini cât mai bine această responsabilitate, diverse organizații din mediu public au lansat sau susțin campanii de conștientizare. De exemplu, luna octombrie este Luna Europeană a Securității Cibernetice, o campanie anuală, coordonată de către Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA). În acest an, ea abordează, atât în rândul cetățenilor cât și al organizațiilor, problemele de securitate legate de digitalizarea vieții de zi cu zi, care a fost accelerată de pandemia de COVID-19. O altă campanie este SiguranțaOnline, lansată de Poliția Română, Directoratul Național de Securitate Cibernetică (DNSC) și Asociația Română a Băncilor (ARB) pentru informarea cetățenilor în vederea protejării împotriva fraudelor online.
Educația în securitate cibernetică – un must-have pentru companii
Orice schimbare masivă în societate, așa cum este transformarea digitală, mai ales când este generată de o criză, așa cum este pandemia, favorizează activitatea infractorilor cibernetici. În astfel de situații, aceștia vor profita de orice vulnerabilitate, inclusiv de lipsa de cunoștințe și de instruire a utilizatorilor.
Menționam anterior că fenomenul de work-from-home din ultima perioadă a făcut ca atacurile de tip phishing, în special, și riscurile cibernetice, în general, să se amplifice. Acum mai mult ca oricând, infrastructura organizațiilor este expusă în fața amenințărilor pentru că s-a extins perimetrul de activitate. Însă, așa cum factorul uman este principala cauză a breșelor de securitate, el poate fi și cea mai bună linie de apărare din strategia de răspuns la incidente pe care orice companie ar trebui să o dezvolte.
Pentru a îndeplini acest scop, resursa umană a fiecărei companii ar trebui antrenată pe mai multe paliere pentru a crea o cultură puternică de securitate cibernetică. În alte cuvinte, fiecare angajat ar trebui:
- să înțeleagă care ar putea fi impactul real al unui atac cibernetic asupra companiei și ce daune poate provoca în mod concret;
- să accepte că el însuși joacă un rol important în planul de atac al oricărui infractor cibernetic și că este responsabil de orice consecințe ar avea loc ca urmare a unui atac;
- să cunoască regulile de utilizare a infrastructurilor, sistemelor, platformelor și dispozitivelor puse la dispoziția sa de către companie;
- să se familiarizeze la nivel teoretic cu diversele tipuri de atacuri cibernetice care pot avea loc;
- să știe să identifice și să raporteze personalului calificat un potențial atac.
Pentru a avea rezultate, procesul de conștientizare în securitate cibernetică trebuie să fie susținut de o comunicare constantă între angajat și companie. Putem include aici campanii interne de informare cu privire la noutățile din domeniu. Ele vor fi, însă, eficiente doar dacă sunt susținute prin sesiuni de training periodice, începând de la subiecte fundamentale până la cele mai avansate sau de actualitate. De asemenea, este util ca orice concepte teoretice însușite să fie puse în practică, prin testări regulate pentru angajați.
Iar pentru a avea rezultate pe termen lung, toate aceste activități ar trebui privite ca fiind de bază și obligatorii pe toată perioada de angajare, și nu facultative. La fel cum medicina muncii trebuie efectuată anual, compania trebuie să se asigure că există și o igienă a securității cibernetice, verificată periodic.
Există diverse platforme care oferă acces la cursuri și resurse practice deopotrivă și de care companiile se pot folosi în sesiunile menționate. O astfel de platformă, de exemplu, este PhishEnterprise. Ea se axează în mod principal pe educarea angajaților să identifice atacurile de tip phishing – care sunt cele mai frecvente. Pe lângă resursele teoretice care explică diverse concepte de bază despre phishing și alte tactici de inginerie socială, platforma poate fi folosită și pentru exercițiile practice care simulează astfel de tactici pentru a le oferi angajaților experiența reală.
Rolul pe care fiecare din noi îl jucăm, fără să ne dăm seama, în strategiile de criminalitate cibernetică este extrem de important. Nu este suficient doar să ne încredem în cele mai noi și performante sisteme sau unelte care ne-ar putea garanta siguranța datelor în online. Este datoria noastră ca utilizatori digitali să conștientizăm riscurile la care suntem expuși zilnic, prin simpla conexiune la internet. Iar conștientizarea este rezultatul unui proces continuu de educare și de creare a unei culturi de securitate cibernetică.
Autor:
Echipa BIT Sentinel
