Știați că primul computer digital a fost dezvoltat în 1943? La doar câțiva ani distanță se specula deja că programele computerizate se pot reproduce. Spre finalul anilor ‘50, protocoalele care le permiteau inginerilor de telecomunicații să lucreze de la distanță în rețea puteau fi deturnate pentru a evita taxele interurbane și a efectua apeluri gratuite. Și, totuși …
Despre criminalitate și securitate cibernetică am început să vorbim mult mai târziu
Am putea chiar spune că interesul pentru acest domeniu a crescut mai degrabă începând cu anii 2000 și s-a intensificat considerabil în ultimii 5 ani, direct proporțional cu dezvoltarea tehnologică și creșterea numărului de amenințări, riscuri și atacuri. Bineînțeles, cele două concepte sunt dezbătute încă de dinainte ca internetul să fi apărut. Dar, la acea vreme, doar anumite grupuri restrânse de oameni o puteau face pentru că doar ele aveau acces la noile tehnologii. Din aceleași considerente, și numărul atacatorilor informatici era aproape nesemnificativ.
Întregul fenomen de digitalizare accelerată, amploarea și complexitatea pe care le-a obținut domeniul tehnologic, toate acestea au adus cu sine atacuri cibernetice pe măsură. Nu putem vorbi despre digitalizarea accelerată fără să vorbim despre consecințele acesteia: criminalitatea cibernetică. Activitatea din mediul digital trebuie să se desfășoare în parametri normali, fără pierderi financiare, de date sau orice alte daune. Pentru a combate în mod eficient atacurile și a le ține la distanță, trebuie să avem în vedere o serie de bune practici și un nivel de securitate cibernetică cel puțin la fel de complex cu cel al atacurilor.
Avantajele unui context legislativ favorabil
Uniunea Europeană deja aduce în prim plan importanța instituirii unei baze minime de securitate cibernetică la nivel de industrie. În acest sens, aducem în discuție directiva NIS privind privind securitatea rețelelor și a sistemelor informatice. Pentru a întări și mai mult reziliența statelor în fața atacurilor cibernetice, discuțiile pentru o nouă directivă, NIS 2.0, cu o acoperire mult mai largă, sunt deja în desfășurare.
România se aliniază treptat la recomandările Uniunii în ceea ce privește soluțiile de securitate cibernetică prin implementarea directivei NIS prin Legea 362/2018. Directiva se aplică operatorilor de servicii esențiale din 7 sectoare de activitate (energie, transport, banking, finance, medical, apă potabilă, infrastructura digitală) și furnizorilor de servicii digitale care activează în următoarele trei categorii: piețe online, motoare de căutare online și servicii de cloud computing. Printre altele, directiva a stabilit măsuri pentru asigurarea efectivă a securității. De asemenea, ea prevede cerințe concrete pentru notificarea incidentelor către autoritatea națională, pentru formarea echipelor de răspuns la incident publice, private și sectoriale și, bineînțeles, reguli pentru formarea în domeniu. Nerespectarea cerințelor legale poate duce la amendarea operatorilor de servicii esențiale și a furnizorilor de servicii digitale cu până la 5% din cifra de afaceri.
În acest context putem aduce în discuție și introducerea standardului PCI DSS (Payment Card Industry Data Security Standard), obligatoriu pentru organizațiile procesatoare de plăți cu cardul. Tot în 2018, Autoritatea de Supraveghere Financiară a publicat o reglementare care obligă companiile de asigurări să facă testări regulate (așa numitele penetration tests – teste de penetrare) prin care se verifică puncte slabe sau defecte ale infrastructurilor și sistemelor. Astfel, pot confirma că aplică măsurile potrivite de securitate. În luna mai a aceluiași an, intra în vigoare și Regulamentul General de Protecție a Datelor (GDPR) prin care se asigură gestionarea și protecția datelor colectate de la clienți, utilizatori și vizitatori.
Nu în ultimul rând, începând cu acest an, Bucureștiul va găzdui noul Centru European pentru Securitate Cibernetică, care va îmbunătăți coordonarea cercetării și inovării în domeniul securității cibernetice în UE. Acesta va fi, de asemenea, principalul instrument al UE pentru punerea în comun a investițiilor în cercetarea, tehnologia și dezvoltarea industrială în domeniul securității cibernetice.
Recomandări către organizații pentru dezvoltarea rezilienței în fața atacurilor cibernetice
De regulă, organizațiile tind să adopte atitudinea “security by obscurity” și, astfel, să acționeze în mod reactiv, doar în momentul detectării unui atac cibernetic. Astfel, chiar și după o potențială redresare ulterioară, acestea își asumă riscuri mari, precum pierderi de date, pierderi financiare și pierderi pe partea de reputație în fața clienților și a partenerilor. Ba mai mult, se adaugă și amenzile pentru astfel de probleme, conform reglementărilor în vigoare.
Pentru a crea adevărata reziliență în fața criminalității cibernetice, este nevoie și de o atitudine preventivă. Acest lucru implică instituirea de procese de bază de securitate cibernetică la nivel de organizație, care de multe ori sunt mai eficiente din punct de vedere timp și cost. În acest sens aducem aminte de detectarea la timp a vulnerabilităților din sisteme pentru a le rezolva înainte de un posibil atac care ar duce la o serie de pierderi mult mai grave. La aceasta se adaugă dezvoltarea unei strategii de răspuns la incidente de securitate și instruirea personalului intern, inclusiv cel de securitate, pentru a reacționa corespunzător la atacuri.
Felul în care alegem să răspundem unei provocări determină reușita noastră. E un principiu perfect valabil și în domeniul securității cibernetice. Strategia de răspuns la incidente cibernetice se bazează, prin urmare, atât pe prevenție, cât și pe detecție. De asemenea, vorbim despre un demers de durată, de tip maraton. Un atac cibernetic poate avea loc oricând – în 2019, de exemplu, Microsoft raporta că se confruntă zilnic cu peste 300 milioane de încercări frauduloase de conectare la serviciile lor de cloud.
Când vorbim de echipe tehnice din companii, ne putem referi la echipe de administrare a sistemelor informatice, echipe de software development și/sau de securitate. Este vital să le oferim oportunități care să le permită antrenamentul constant pentru a face față provocărilor și amenințărilor din piață pe infrastructuri și sisteme, cu unelte și tehnici cu aplicabilitate imediată. Un exemplu de astfel de poligon virtual de practică este CyberEDU, care îmbină scenarii inspirate din activitatea zilnică cu noțiuni aliniate la standardele din industrie.
Mai departe, ca să acoperim și nivelul de conștientizare din întreaga organizație și, mai ales, pentru a asigura conformitatea cu normele GDPR și/sau NIS, este recomandat ca organizațiile să susțină o serie de traininguri specializate, cel puțin o dată pe an. După aceste cursuri, vor fi lansate și o serie de atacuri simulate și controlate, ori de câte ori este nevoie sau se dorește, pentru testarea cunoștințelor. Astfel, organizația poate să acopere noțiuni de bază în ceea ce privește securitatea cibernetică, prin intermediul unor resurse teoretice și practice care mai apoi îi ajută pe angajați să identifice și să raporteze corespunzător astfel de atacuri. Ulterior, va fi mult mai ușor pentru organizație să oprească atacul, să determine severitatea incidentului, să notifice potențialele părți implicate despre atac și să implementeze măsuri de prevenție ale unor posibile incidente de securitate viitoare. Despre acest subiect, puteți citi mai multe pe blogul Bit Sentinel.
Reziliența în fața atacurilor cibernetice se dezvoltă în baza unui cumul de factori. Includem aici un cadrul legislativ care să prioritizeze combaterea criminalității cibernetice. La acesta se adaugă cooperarea mediului privat care pune la dispoziție toate mijloacele necesare pentru ca angajații să susțină în mod eficient strategia de răspuns la atacuri cibernetice.
Autor:
Echipa BIT Sentinel
