*”Aș dori să apelez și la autorități pentru a dezincrimina ethical hacking”

Companiile nu trebuie să își ascundă vulnerabilitățile legate de securitatea cibernetică, ci trebuie să le identifice și să le repare, a spus Alex ”Jay” BĂLAN, CISO Happening, la Cybersecurity Forum 2025, organizat de Financial Intelligence, pe 17 martie.

Domnia sa implementează strategia de cyber security pentru o organizație de 5.000 de angajați, cu operațiuni în 8-9 țări, cu patru brand-uri majore și mai multe firme în grup.

“Avem o abordare poate ușor mai neortodoxă, în sensul că nu există reziliență fără violență”, a spus Alex ”Jay” BĂLAN: „Ce înseamnă asta? Foarte multe firme folosesc ceea ce se numește perimetru și își fac lockdown pe active. Se gândesc că au pus firewall, au pus VPN și cred că sunt foarte bine securizați. În realitate, își ascund jucăriile, de frică să nu fie sparte. Dar, astfel, se creează un fals sentiment de securitate. Ideea nu este să vi le ascundeți, ideea este să vi le securizați. La modul cel mai sincer, dacă doar le ascundeți, o să vedeți că perimetrul nu este așa de sigur. Având în vedere tot social engineering-ul din ultima vreme, puteți să aveți doar rețele private peste tot, că tot se va ajunge la perimetrul acela. S-a ajuns la Octa, s-a ajuns la Twitter, la companii care au mai multe resurse investite în securitate decât voi. Așa că primul meu sfat, foarte neortodox, va fi Expuneți-vă! Identificați-vă vulnerabilitățile, implementați un program de vulnerability management și de risk management și reparați potențialele găuri, în loc să le ascundeți! Aș dori să apelez și la autorități, pentru a dezincrimina ethical hacking. În momentul acesta, accesul neautorizat la un sistem informatic se pedepsește cu închisoare.

Ethical hackers vă vor spune despre vulnerabilitățile pe care le aveți și vă vor ajuta să le închideți. Dacă nu-i lăsați să vă spargă, și o să o spun foarte asumat – să vă spargă –, alții nu vor avea aceeași politețe în a vă notifica, în momentul în care găsesc o vulnerabilitate în sistemele voastre, ci o vor exploata pur și simplu. Unul dintre scopurile pe care trebuie să le aveți este să identificați, cât mai repede, acele vulnerabilități. Nici nu cred că se pot calcula pagubele care pot fi cauzate, în momentul în care cineva vă compromite infrastructura. Poate fi închis întreg businessul.

Gândiți-vă și la dificultatea că trebuie să notificați autoritățile.”

Domnia sa a vorbit și despre tabletops ( n.n. o activitate bazată pe discuții, în care părțile interesate cheie se întâlnesc pentru a simula un incident cibernetic din lumea reală): “Foarte mulți investesc în securitate și reziliență, dar nu foarte mulți fac aceste exerciții tabletops – scenarii în care încercăm să simulăm un incident. Trebuie să știm pe cine să sunăm, care sunt persoanele care trebuie contactate, în primul moment. Foarte mulți nu știu că trebuie să implicăm PR-ul în momentul în care avem un incident de securitate. Din prima secundă, implicăm PR-ul, implicăm legalul. Termenul în care trebuie să notifici autoritățile în cazul în care sunt compromise date cu caracter personal este de 72 de ore.

De curând, a fost compromis un business, undeva pe la începutul lui februarie. Au notificat clienții o lună mai târziu, nu au fost deloc pregătiți pentru momentul în care au fost sparți.

Trebuie să vă puneți problema dacă sunteți pregătiți pentru momentul în care veți fi compromiși. O să vă mai spun ceva care o să doară: Veți fi compromiși! Să

credeți că nu veți fi compromiși este o aroganță incredibilă! A fost spart LinkedIn, a fost spart Adobe, a fost spart Twitter, a fost spart OCTA, care e o firmă mare de securitate, furnizează servicii de identitate. Dacă ei, care investesc enorm în securitate, au fost sparți, ni se poate întâmpla și nouă! Și trebuie să puneți problema dacă sunteți pregătiți pentru acea situație. Noi facem tabletops, cam unul pe trimestru, la care participă departamentul legal, PR, șeful de la IT, CTO, CEO și facem aceste simulări și identificăm niște probleme și niște carențe în procesele noastre.”

El a mai atras atenția că, pe lângă date, poate fi colectat inclusiv traficul de rețea.

Legat de furnizori, domnul Bălan a recomandat companiilor să nu accepte furnizori care nu au măcar ISO 27001, ideal SOC 2.

“Apoi, monitorizarea pe care o faceți prin blue team (n.n. se apără împotriva atacurilor și răspunde la incidente atunci când acestea apar), red team (n.n. joacă rolul atacatorului încercând să găsească vulnerabilități și să spargă apărările de securitate cibernetică), firmă de intelligence trebuie extinsă și la furnizori, pentru a ști dacă aceștia au incidente de securitate și chiar dacă au vulnerabilități”, a mai spus Jay Bălan.