Yugo Neumorni, CIO Council: Backup-ul și disaster recovery sunt sfânte, iar Business Continuity Plan poate salva o companie

Strategia pe cybersecurity a unei companii trebuie să înceapă mai sus de zona executivă, si mă refer la acţionari, a declarat Yugo Neumorni, Președinte CIO Council, la Cybersecurity Forum, organizat de Financial Intelligence.

Domnia sa a explicat: “Totul în zona de cybersecrity începe cu o strategie și aceasta trebuie să înceapă mai sus de CEO, de la acționari.
Avem strategii care se fac doar pe hârtie, pentru a da bine la auditori, dar în realitate nu avem nimic – nici măcar nu știm unde este backup-ul, iar uneori in OT ne este frică să îl facem, punem în continuare cu lejeritate USB-uri in instalatiile industriale, dispozitive care sunt vectorii de atac cei mai primitivi.

Eu cred că normal ar fi ca acţionarii împreună cu zona executivă să aibă discuţii periodice cu Chief Risk Officer, CIO sau CTO și să afle care sunt vulnerabilitățile pe care le-au rezolvat în ultimele trei luni, ce probleme de cybersecurity sunt, dacă funcţionează back-up-ul etc.

Backup-ul și disaster recovery sunt sfânte pentru o companie, iar Business Continuity Plan (n.r. procesul de planificare pentru continuarea activitatii in caz de dezastru) o poate salva”.

Cybersecurity înseamnă bani mulţi, inseamna costuri. Trebuie să facem diferenţa între atacurile din zona IT – Information Technology şi cele din zona OT –
Operational Technology, a mai spus domnul Yugo Neumorni, precizând: „Pe zona IT, dacă un atacator a intrat, a extras bazele de date, compania are o problemă cu data protection, cu directiva NIS dar nu sunt victime. E destul de grav, dar exista destule mecanisme prin care te poti proteja.
Pe zona OT, atacatorii pot intra mult mai uşor pentru că nu poţi upgrada si updata sistemele, precum în zona IT. Teoria spune să îţi upgradezi constant sistemul de operare, dar în OT nu prea poţi să faci acest lucru.
Dacă aţi fost vreodată într-o fabrică, aţi văzut că e mult zgomot, multe maşini, cazane, laminoare şi sunt nişte senzori care preiau informaţia, o duc într-un centru de comandă unde sunt nişte calculatoare, servere care le proceseaza, multe dintre ele sunt XP, Win 7 sau chiar 2000. Nu poţi să faci upgrade, update. E o poză dură. Din păcate, mai e şi problema că acel proces tehnologic trebuie condus, supervizat, optimizat de către un furnizor care ți l-a vândut, ci care ar trebui să se conecteze de la distanță asa ca trebuie să-i deschizi un canal de comunicații. Si aici apar problemele de Identity Management si de increderea in acel furnizor.
Dacă un atacator a reușit să intre în zona OT, poate face cam ce vrea cu acea companie. Poate să o pună la pământ foarte rapid. Asta este tragedia”.
În opinia domnului Yugo Neumorni, în zona OT cea mai importanta masura de protecție este izolarea si segmentarea de zona IT: “Mai nou se face acest lucru. Ce nu s-a înțeles este că trebuie să se facă segmentare și în interiorul ariei OT. Şi ai nevoie de investiţii. După ce faci segmentarea, trebuie să vezi și ce se întâmplă – să pui niște senzori, să identifici niște anomalii ,sau pattern-uri de traffic care sunt nefirești.
Am văzut într-un raport McKenzie că termenul de penetrare până când descoperi un atac cibernetic este 90 zile. Nu știu cât e de reală e cifra, dar, dacă e aşa, termenul e foarte mare, băieții au intrat în interior și tu nu știi. Atunci trebuie să îți pui niște dispozitive care să semnaleze că nu are ce căuta administratorul tau IT să-ți facă modificări într-un firmware conectat din China,si trebuie să îţi dai seama că ceva e în neregulă.

Depistarea anomaliilor din trafic este o componentă care trebuie făcută pentru ca este o metodă de protecție importanta. Soluții există – izolăm, segmentăm, punem dispozitive care ne spun ce se intampla in interiorul retelei.

Aşa cum am mai spus, back-up și disaster recovery sunt sfinte, dar nu se fac corespunzator. Există companii în care poate administratorii IT ori au plecat, si nu mai știe nimeni ce-i prin retelele respective, ori sunt echipamente de acum 20 ani..

Nimeni nu știe cine e responsabil pentru backup-ul din OT, nimeni nu știe cine e responsabil pentru segmentare. Şi nu doar în România, ci peste tot. Trebuie să existe această responsabilizare si definire a sarcinilor intre OT si IT, trebuie să existe un exercițiu de restaurare, pentru că, în momentul în care faci o restaurare dupa o simulare de atac, îți dai seama și cine ar trebui să fie responsabil.

Zona OT va fi în continuare problematică. OT-ul care se construiește acum este într-adevăr securizat si vine cu concepte de “security by design”, dar în următorii 10 ani vom avea în continuare la nivel global companii industriale sau unităţi OT care sunt cu probleme și asta trebuie să conştientizăm, să adoptăm niște planuri de reziliență cât se poate de clare și corecte”.