O breșă de securitate cibernetică poate costa companiile de la câțiva bitcoin până la milioane de dolari (Cristian Herghelegiu, Dendrio)

Prevenția și protecția sistemelor informatice este un proces neîntrerupt, care necesită planificare și bugetare și trebuie executat ca atare, apreciază Cristian Herghelegiu, CEO Dendrio & VP Divizia de Tehnologie, Bittnet Group, care ne-a acordat un interviu.

O componentă importantă este educarea utilizatorilor finali în perspectiva riscurilor cibernetice, spune acesta.

***

Cum ar trebui să se pregătească structurile statului pentru atacurile cibernetice?

Cristian Herghelegiu: Aș începe cu un aspect extrem de important pe care multe companii îl neglijează: prevenția și protecția sistemelor informatice este un proces neîntrerupt, care necesită planificare și bugetare și trebuie executat ca atare. O componentă importantă este educarea utilizatorilor finali în perspectiva riscurilor cibernetice. Dacă ne uităm în raportul DESI pentru 2021 în România sub 6% din companii oferă angajaților tranining legat de tehnologie (procentul celor care oferă training pentru cybersecurity fiind semnificativ mai mic) comparativ cu peste 20% media UE.

În mod evident contextul geopolitic actual determină anumite atacuri țintite către entități guvernamentale, sisteme de utilități publice sau alte companii care oferă servicii de interes public. În ultimul raport ENISA (European Agency for Cybersecurity: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021) pentru 2021 se poate remarca faptul că la nivel european majoritatea atacurilor sunt îndreptate către organizații din zona administrației publice/guvern, urmate de  atacuri împotriva utilizatorilor persoane fizice, a companiilor de servicii de comunicații/digitale (operatori de telecomunicații, ISP etc), domeniul financiar bancar.

Pentru întărirea posturii de securitate cibernetică sunt de părere că este importantă parcurgerea a 3 etape mari: Pornind de la evaluarea situației curente, sunt necesare  dezvoltarea și implemetarea unui plan de măsuri și, nu în ultimul rând, monitorizarea constantă a sistemului implementat – așa cum aminteam, vorbim despre un proces continuu. Bineînțeles, în etapă de design și implementare a sistemului vom urmări dezvoltarea unor arhitecturi flexibile (sisteme ce se pot integra în arhitecturile IT complexe, componente care se pot reconfigura automat etc) bazate pe componente hardware performanțe. În primul rând toate sistemele informatice trebuie să fie construite pornind de la principiul implementării bunelor practici de securitate (fie că discutăm de implementarea infrastructurii fizice sau dezvoltarea aplicațiilor software). Serviciile periodice de audit (și implementarea corectă a recomandărilor aferente) oferă una dintre cele mai puternice metode de prevenire și asigurare a funcționarii organizației pe termen lung.

Cât de avansate sunt soluțiile de securitate cibernetica din prezent?

Cristian Herghelegiu: Există soluții de securitate foarte avansate, depinde de fiecare organizație în parte cât alege să investească în acest domeniu. De curând am auzit o comparație foarte bună a securității cibernetice cu asigurările RCA. Unul dintre vorbitorii la o conferință a întrebat moderatorul dacă și-ar mai achiziționa o asigurare RCA dacă nu ar exista o amendă usturătoare în condițiile lipsei acesteia la un control de rutină. La fel și securitatea cibernetică, ar trebui să fie privită că o investiție, un fel de poliță de asigurare în cazul unui atac cibernetic semnificativ. Este menită diminueze pierderile în situații de criză și constituie fundamentul pentru remedierea rapidă a situației. Pe măsură ce tehnologia evoluează și tehnicile actorilor malițioși devin mai rafinate și mai țintite. Trebuie să recunoaștem în acest moment niciun sistem nu este 100% impenetrabil, dar un ecosistem sănătos de soluții de securitate moderne asigură detectarea, semnalarea și blocarea atacurilor noi într-un timp semnificativ mai scurt.

Cum pot companiile și mediul de business să apeleze la astfel de soluții pentru a preveni posibile atacuri?

Cristian Herghelegiu: Recomandarea noastră este să dezvolte un parteneriat cu una sau mai multe companii specializate în domeniul IT/cybersecurity care pot ajuta compania să implementeze cele mai bune practici în domeniu și în paralel să investească într-o echipă internă care să poată gestiona relația cu aceștia.

Cum facilitează specialiștii în tehnologie integrarea acestor soluții de securitate cibernetică?

Cristian Herghelegiu: Arhitecții noștri de soluții lucrează îndeaproape cu clienții pentru a construi soluții care să servească nevoilor specifice fiecărui client în parte. Post implementare colegii noștri tehnici transferă cunoștințele către echipa internă, pentru a putea prelua gestiunea infastructurii. Soluțiile de securitate propuse acționează că o echipă. Ele învață unele de la altele, ascultă și răspund ca o unitate coordonată. Când se întâmplă acest lucru, securitatea devine mai eficientă. Combinația de firewall-uri de ultimă generație, securitate a punctelor finale, securitate în cloud și autentificarea utilizator creează fundamentul pentru o abordare de securitate puternică, dar simplă.

Ar trebui ca toate marile companii să își instruiască echipele în acest domeniu? Cui se adresează aceste soluții?

Cristian Herghelegiu: Nu numai marile companii ar trebui să își instruiască echipele în domeniu cyber security, ci toate companiile, inclusive cele mici și mijlocii. Statisticile arată că SMB-urile sunt afectate de 62% din toate atacurile cibernetice, aproximativ 4000 pe zi. Colegii noștri de la Bittnet Training au cel mai vast portofoliu de cursuri de cyber security din România și pot construi proiecte de educație pentru prevenția în caz de atacuri.

Ce înseamnă un plan de back-up / disaster recovery și de ce ar trebui să-l implementăm? Cât e de important și ce presupune?

Cristian Herghelegiu: Un plan de răspuns la un incident (Incident Response Plan) este un set de instrucțiuni gândit să ajute departamentul IT să identifice, să contracareze și să își revină dintr-un incident de securitate.  Acest plan se referă la măsurile care trebuie să fie luate în timpul unui incident, și nu la detaliile incidentului în sine. Un plan de răspuns listează pașii pe care echipa de intervenție trebuie să îi urmeze atunci când are loc un incident. Obiectivul planului de răspuns la incident este protecția datelor sensibile în timpul unei breșe de securitate, la fel cum mecanismele de disaster recovery asigură continuitatea activității în timpul unor probleme majore de funcționare corespunzătoare.

Să luăm ca exemplu un atac de ransomware. Deși este un tip de atac frecvent în zilele noastre, puține organizații sunt pregătite în față unui astfel de incident, iar lipsa unui plan de răspuns nu face decât să mărească pagubele.

Cu ce trebuie să fie pregătită echipa de intervenție pentru a răspunde eficient în față atacului?

  • diagrama rețelei și o listă cu serverele importante (DC-uri, baze de date, email)
  • laptopuri pentru analiză logurilor, captura de pachete
  • medii de stocare: stick-uri USB, HDD/SSD-uri externe
  • un baseline pentru activitatea normală a rețelei, a serverelor și a aplicațiilor
  • acces la imagini curate de sistem de operare
  • backup-uri pentru date/servere
  • mediu sandbox pentru restaurarea sistemelor sau pentru analiză malware-ului

Cum se poate detecta un incident și în ce constă analiza lui?

– observarea indicatorilor de compromitere (IOCs):

o   logurile unui server web arată activitate din partea unui scanner de vulnerabilitate

o   alarmele generate de un sistem IDS/IPS

o   utilizatorii raportează prezența unor fișiere cu extensii ciudate

o   o aplicație semnalează încercări de conectare eșuate dintr-o locație cunoscută că fiind rău intenționată

-analiza incidentului presupune:

o   inspectarea logurilor generate de sistemele de tip SIEM

o   inspectare logurilor generate de echipamentele de rețea

o   inspectarea logurilor la nivel de endpoint

o   corelarea tutur acestor loguri pentru a determina dacă atacul a avut succes

o   analiza devierilor de la comportamentul normal al rețelei

o   captura de trafic pentru analize suplimentare

Cum se poate face izolarea unui endpoint afectat de incident?

o   decontarea din rețea pentru a limita răspândirea malware-ului

o   oprirea completă a sistemului

o   dezactivare unor funcții, suspendarea unor aplicații, închiderea unor procese

o   direcționarea atacului într-un mediu de sandbox

Aceste operațiuni trebuie executate cu mare grijă, întrucât malware-ul poate să produce efecte chiar dacă sistemul nu mai este online.

Eradicarea se face prin:

o   ștergerea fișierelor malițioase

o   dezactivarea conturilor compromise

o   identificarea și rezolvarea vulnerabilităților exploatate în timpul atacului

Recuperarea poate implică acțiuni precum:

o   instalarea fresh a sistemului de operare

o   restaurarea sistemului din backup-uri sigure, mai ales pentru servere

o   schimbarea parolelor de acces

o   înlocuirea fișierelor compromise cu copii curate

o   instalarea patch-urilor disponibile

Activitatea post-incident trebuie să conțină răspunsuri la următoarele întrebări:

  • ce anume s-a întâmplat mai exact și care a fost cronologia evenimentelor?
  • au fost urmate procedurile stabilite de departamentul IT și management în caz de atac informatic?
  • ce informații au lipsit și erau necesare în timpul incidentului?
  • ce măsuri se pot lua pentru că pe viitor organizația să fie protejată de un atac similar?
  • care sunt indicatorii de compromitere care trebuie monitorizați pe viitor?
  • ce sisteme de securitate/software-uri sunt necesare pentru a combate acest tip de atac?

Pentru aproape orice business, informații precum documente, contracte, mesaje email-uri, date despre colaboratori sau despre clienți sunt critice și reprezintă bunurile cele mai de preț. Tehnologia poate ajuta la păstrarea informațiilor în condiții de securitate și la restaurarea ei în caz de urgență, dar tot aceeași tehnologie poate distruge totul cât ai clipi. Pentru cele mai multe afaceri, pierderea accesului la date este echivalentă cu stoparea activității, ceea ce duce la pierderi financiare, pătarea imaginii în față publicului și pierderea încrederii din partea clienților și a partenerilor. La toate acestea se adaugă costurile asociate cu recuperarea datelor și repunerea în funcțiune a sistemelor afectate.

Câteva recomandări pentru organizații sunt:

  • efectuarea backup-ului pentru datele cele mai importante, ideal pentru întregul disk al dispozitivului
  • crearea unui orar pentru efectuarea backup-ului la o anumită dată și oră
  • executarea backup-ului ca un task automat pentru a degreva departamentul IT de sarcina de a face backup manual pentru poate sute de dispozitive
  • respectarea regulii 3-2-1: 3 copii ale datelor (datele din producție și două copii de rezervă) pe 2 medii de stocare diferite (disk, tape) cu o copie care să fie off-premises pentru partea de disaster recovery

Printre cele mai eficiente și versatile soluții de backup de nivel Enterprise se numără și Veeam, Commvault și Dell Technologies. Gartner plasează acești producători de software de backup și recovery în cadranul magic, îndeplinind cel mai bine aceste funcții.

Cât costă o companie o astfel de breșă de securitate?

În funcție de tipul de companie, răscumpărările pot varia de la câțiva bitcoin până la milioane de dolari.

Articole recente

UE şi Norvegia au stabilit să-şi consolideze cooperarea pentru garantarea aprovizionării cu gaze

Uniunea Europeană şi Norvegia au stabilit să-şi intensifice cooperarea pentru a garanta surse adiţionale de…

5 ore ago

Klaus Iohannis a reafirmat la Bruxelles convingerea privind viitorul european al regiunii Balcanilor de Vest

Preşedintele Klaus Iohannis a participat, joi şi vineri, la reuniunile liderilor din Uniunea Europeană şi…

6 ore ago

Fondul Proprietatea a anunțat încheierea ofertei de răscumpărare; indice de alocare – 0,2393196964

Fondul Proprietatea a anunțat încheierea ofertei de răscumpărare, indicele de alocare fiind de 0,2393196964, potrivit…

6 ore ago

Hackerii au furat 100 de milioane de dolari în criptomonede de la Horizon

Hackerii au furat 100 de milioane de dolari în criptomonede de la Horizon, o așa-numită…

7 ore ago

Posibilitatea transformării grupurilor de luptă aliate în brigăzi, decisă la Summitul NATO de la Madrid (surse)

Posibilitatea ridicării grupurilor de luptă din România şi din alte ţări estice la rang de…

7 ore ago

Ucraina e “un viitor partener egal pentru cel puţin 27 de ţări UE”, afirmă Zelenski

Preşedintele ucrainean Volodimir Zelenski a salutat acordarea statutului de ţară candidată la aderare Ucrainei, despre…

7 ore ago