DE LA INEFICIENȚA STRATEGIILOR DE PROFUNZIME, CĂTRE O CULTURĂ A SECURITĂȚII ȘI CONFIDENȚIALITĂȚII DATELOR

Miercuri 09 Februarie, s-a derulat cea de-a 5 ediție a evenimentului ”ESET Security Days”, devenit o tradiție în comunitatea specialiștilor interesați de noutăți în domeniu securității cibernetice. Ca și la ediția precedentă, împreună cu organizatorii și vorbitorii ne-am străduit să oferim participanților o agendă complexă, cu informații competente și cât mai relevante pentru climatul actual. În care pericolelor informatice curente și se adaugă amenințări suplimentare legate de efectele pandemiei și instabilitatea asociată situației conflictuale din estul continentului.

ESET Security Days este un concept umbrelă pentru o serie de evenimente derulate la scară globală, care se adresează specialiștilor implicați în procesele de securitate IT din infrastructurile guvernamentale și de business. Conferința ajuns la a cincea ediție în România, apelând la aceeași platformă de transmisie online de la ediția precedentă din noiembrie 2020. Și de această dată, evenimentul s-a bucurat de implicarea și participarea unor invitați speciali, reprezentanți ai unor structuri guvernamentale, asociații profesionale, specialiști de top și consultanți în probleme de securitate cibernetică și prelucrarea datelor personale.

Diversitate de tematici, gravitând în jurul fenomenului de transformare digitală

Conferința s-a derulat ca un veritabil maraton de prezentări,  ce au analizat evoluția climatului de securitate cibernetică din perspective multiple, dar reunite într-o analiză complexă a implicațiilor transformării digitale pentru securitatea informației.

Ce s-a mai întâmplat în cybersecurity în ultimul an? Lucrurile continuă să evolueze dramatic, dovadă că atacurile informatice nu țin cont de efectele umane, economice și sociale ale pandemiei. Dacă la ediția anterioară vorbeam de necesitatea revizuirii strategiilor de securitate la nivel macro, cruda realitate ne atrage atenția că asta nu e suficient și că trebuie să acționăm mai în profunzime, pentru a construi o cultură digitală comună pentru protecția și confidențialitatea datelor.

Pandemia a crescut dramatic viteza cu care digitalul poate schimba în mod fundamental nu numai afacerile, dar și viața noastră de fiecare zi. Și ca întotdeauna când omenirea trece prin încercări dramatice, tehnologia adoptată și folosită cu cap poate contribui la revenirea la o nouă normalitate, pe care nu o putem încă defini, dar în care cu toții sperăm…

De la proiect și idealuri la certitudine și programe ambițioase

Dacă la precedenta ediție din noiembrie 2020 domnul Dan Cîmpean, pe atunci director al CERT.RO ne vorbea despre premisele și necesitatea înființării unei structuri care să corespundă nevoilor actuale de programe de securitate cibernetică, în deschiderea conferinței dl. Iulian Alecu, adjunct al directorului în cadrul Directoratului Național de Securitate  Cibernetică (DNSC) ne-a făcut o prezentare extrem de interesantă privind activitatea și obiectivele noii structuri guvernamentale, care practic nu a înlocuit vechiul CERT.RO, ci i-a păstrat toate atribuțiile într-o entitate încadrată în actuala formulă de directorat care și-a propus să creeze un cadru de îmbine în mod armonios zona de stat cu cea privată și cea de universități. Una dintre priorități a fost de la bun început pregătirea și motivarea și păstrarea resursei umane pregătite în țara noastră.

Directoratul a apărut pe linia unei nevoi stringente pentru o abordare nouă în zona civilă din România, susținută de coloana vertebrală bazată pe cei trei piloni reprezentați de cooperarea dintre stat, privat și zona de educație. Pe de altă parte, Directoratul are menirea de a acoperi acele aspecte ale spațiului cibernetic național civil, pentru care CERT nu dispunea de cadrul legal, fiind o entitate a cărei principală menire era de înregistrare a incidentelor și asigurarea aplicării directivei NIS.

Întreaga construcție a DNSC se bazează pe 10 obiective majore, dintre care cele mai importante sunt:

  • Fundamentul asigurat în continuare de CERT:RO privind asigurarea securității, confidențialității, integrității disponibilității, rezilienței din spațiul cibernetic național civil în colaborare cu toate instituțiile care au competențe în domeniu;
  • Asigurarea cadrului de strategii, politici și reglementări care să susțină implementarea viziunii naționale în domeniul securității cibernetice;
  • Crearea cadrului național de cooperare, un hub de cooperare, care să devină foarte pragmatic, începând cu detecția incidentelor informatice, la investigații, cercetarea și reglementarea, până la certificarea, instruirea și educația;
  • Crearea unei platforme națională de colaborare care să permită schimbul de informații între instituțiile statului, mediul academic și mediul privat  în domeniul incidentelor, vulnerabilităților și crizelor de natură cibernetică;
  • Crearea cadrului național de certificare în domeniul securității cibernetice, în cooperare cu instituțiile care au competențe și atribuții în domeniu;
  • Crearea unui cadru național în care să ne pregătim specialiștii care să corespundă nevoilor pe care România le are în domeniul securității cibernetice;
  • Dezvoltarea cadrului național de conștientizare și pregătirea populației în domeniul securității cibernetice în scopul direct al educării populației civile, pentru a preveni eventualele fraude informatice și scheme de inginerie socială;
  • Promovarea și susținerea pe plan internațional a strategiei naționale de securitate cibernetică;
  • Crearea unui cadru național de evaluare a noilor tehnologii și impactul acestora asupra securității cibernetice a României, pe baza analizelor predictive, inclusiv din perspectiva impactului pe care noile tehnologii le pot avea asupra securității cibernetice naționale;
  • Dezvoltarea capacității de atragere de fonduri de finanțare pentru realizarea obiectivelor instituționale;
  • Elaborarea și coordonarea planului de management al crizelor de securitate cibernetică la nivel național, în cooperare cu instituțiile care au competențe de managementul crizei.

Deși toate aceste obiective sunt deosebit de ambițioase, e important că întreg acest plan de lucru se bazează pe crearea unui cadru național de cooperare între zona de stat cu sectorul universitar și cel privat și pe antrenarea tuturor instituțiilor care dispun de competențele necesare.

E suficientă asigurarea cibernetică pentru atenuarea daunelor?

Pornind de la costurile importante generate de escaladarea măsurilor de securitate, dar și de valoarea materială a daunelor provocate de fiecare minut de întrerupere asociat unui incident informatic, se vorbește mult în ultima vreme despre utilitatea sistemelor de asigurări care ar permite o oarecare  amortizare a acestor costuri. Piața de asigurări cibernetice va crește de la aproximativ 8,5 miliarde USD în 2021 la 14,8 miliarde USD în 2025 și va depăși 34 miliarde USD până în 2031, cu o rată de creștere medie anuală de 15%.

Sunt oare utile astfel de asigurări? Răspunsul a fost dat de prezentarea susținută de Călin RANGU, membru fondator CIO Council Romania, Decan la Facultatea de Științe Economice și Administrarea Afacerilor, Universitatea Danubius, care a prezentat cele mai importante considerente privind rolul asigurărilor cibernetice și a nevoii măsurilor de management informatic profesionist.

Orice încercare de analiză privind eficiența asigurărilor cibernetice trebuie să  pornească de la definirea clară a riscului cibernetic. Din perspectiva Geneva Association, prin risc cibernetic se poate înțelege orice risc care decurge din utilizarea tehnologiei informațiilor și a comunicațiilor care compromite confidențialitatea, disponibilitatea sau integritatea datelor sau a serviciilor, ducând la întreruperea activităților/afacerilor, întrerupând infrastructurile critice (servicii publice, energie, transport, financiar etc) și afectând oameni și proprietăți.

Pornind de la aceasta, impactul riscurilor cibernetice trebuie evaluat în funcție de natura atacurilor cibernetice care pot fi atât furturi de informație, cât și prejudiciile aduse țintei și efectele de fraudă propriu-zisă.  Asigurarea este un instrument care completează (și nu înlocuiește) cadrul de gestionare a riscurilor pe care fiecare organizaţie ar trebui să îl aibă.

Printre principalele provocări ridicate de asigurările cibernetice pentru beneficiari se numără lipsa previzibilității pierderilor cibernetice, asimetria informațională prin lipsa datelor privind pierderile, precum și valoarea limitelor de acoperire, deoarece polițele tind să acopere doar pierderi maxime limitate și conțin mai multe excluderi.

Prezentarea ”Rolul asigurărilor cibernetice și a nevoii măsurilor de management informatic profesionist” susținută de Călin Rangu poate fi vizualizată în întregime la mai jos:

Transformarea digitală nu este despre tehnologii

Transformarea digitală în aceste vremuri de criză generează noi modele de business, noi structuri de organizare și un nou mod de gândire care privește procesele de business, dar și o transformare a rolului tradițional pe care îl are un manager IT.

Diferențiatorii cheie  pentru organizațiile care au înțeles importanța adopției de tehnologii strategice constau într-o viziune și o strategie clară, o cultură a asimilării digitale, o adaptare a structurii organizaționale focalizată pe obiective, accesul la resursele umane cu abilități digitale, adopția tehnologiilor de acces adecvate, precum și puterea de adaptare la schimbare a nivelelor de conducere.

Cele mai critice valori pentru orice proces de transformare digitală sunt asociate cu rezistența la schimbare, centrarea pe client, deschiderea la învățare, disponibilitatea pentru inovare, agilitatea companiei, partajarea cunoștințelor, buna cooperare și atitudinea în fața căderilor.

Prezentarea ”Noul rol al CIO într-o lume focalizată pe transformarea digitală” susținută de Bogdan Tudor poate fi vizualizată în întregime la adresa:

Cât ne costă slăbiciunile de securitate informatică

În expunerea sa, Toma Cîmpeanu, director executiv al ANSSI – Asociația Națională pentru Securitatea Sistemelor Informatice, ne-a oferit date reale, deosebit de interesante, legate de costurile ascunse ale lipsei de vigilență informatică. Orice vulnerabilitate a sistemelor, configurarea neadecvată și slăbiciunile umane sunt principalele surse care alimentează piața neagră a celor care ne pândesc din cyberspace.

În bine-documentata plimbare prin paginile de DarkWeb, Toma Cîmpeanu ne-a atât cât de simplu este să îți intri în zona ascunsă a internetului ca să îți procuri cele necesare pentru pregătirea unui atac, ba chiar și pentru experimente de simulare. Magazinele virtuale din DarkWeb sunt foarte bine organizate și pot vinde absolut orice, de la măști contrafăcute, la baze de date cu sute de mii de pacienți, carduri de credit, bani falși, acte de identitate, diplome, pastile ce se eliberează doar pe rețete, droguri, arme și orice produse de lux contrafăcute. Cei care vor să de-valideze bancomate pot găsi site-uri cu tot ce le trebuie, instructaje, ustensile și aplicația de fraudare a casetelor din bancomat.

Din păcate, în permanenta competiție dintre activitățile cyber-criminale și cele de apărare, hackerii vor fi mereu cu un pas înainte. Este un adevărat, perpetuum mobile, care a apărut odată cu primul virus informatic.  

Cei care vor să vizioneze integral prezentarea susținută de Toma Cîmpeanu o pot găsi aici:

Cei 3 TS – o nouă percepție privind amenințările informatice din 2022

Ca la fiecare dintre edițiile ESET Security Days, Righard Zwienenberg a ales o modalitate foarte originală de a explica lucruri destul de complicate, pe înțelesul tuturor, într-o manieră foarte interactivă. Righard este Senior Research Fellow la laboratoarele ESET din Olanda, lucrează în domeniul securității din 1988 și s-a afirmat la nivel european ca membru al unor organizații precum EuroPol, Internet Connections Security Group sau Virus Bulletin. Vorbește întotdeauna cu multă plăcere despre pericolele care vin odată cu adaptarea de noi tehnologii, dar niciodată nu cred că s-a așteptat la ce s-a întâmplat în ultimii doi ani…

Tema abordată în înregistrarea pentru acest eveniment se referă la o nouă modalitate de percepție a amenințărilor informatice, rezumată prin triada Trends – Threats – Tips.

Printre cele mai uzuale modalităţi de favorizare a apariţiei  unor vulnerabilităţi informatice se numără: folosirea de software învechit, poate genera vulnerabilităţi ale sistemelor de operare, browsere și alte programe software prin care infractorii cibernetici pot ataca, folosirea de parole slabe, conectare la reţelele Wi-Fi publice, curiozitatea de a deschide fişiere cu sursă incertă, lipsa elementelor de Securitate de pe dispozitivele mobile sau accesarea de site-uri compromise, lipsa unei practice constant de back-up și neglijarea măsurilor elementare de securizare a dispozitivelor de tip ”smart home”.  

Dintre cele mai importante provocări se disting atât campaniile de phising, lipsa măsurilor elementare de securitate pe toate dispozitivele folosite, absența programelor regulate de back-up, accesarea site-urilor web nesecurizate, cât și împărtășirea vieții personale și a muncii sau indiscrețiile scăpate în timpul discuțiilor telefonice.  

Forța de muncă la distanță/la domiciliu era practic statică înainte de COVID-19, pandemia a accelerat totuși mișcarea de lucru de la domiciliu, care a introdus noi provocări de securitate cibernetică. Legat de amenințările din interior, nu putem trece cu vederea faptul că eroarea umană este încă una dintre cauzele principale ale încălcării datelor.

Ca sfaturi generale pentru asigurarea unor condiţii elementare de Securitate, trebuie avute în vedere efectuarea de audituri de securitate fizică și de reţea, pregătirea unui plan de acțiune și politici de Securitate cibernetică, securizarea echipamentelor, actualizarea aplicaţiilor software cu cel mai recent patch de Securitate, criptarea datelor în repaus și din reţea și, nu în ultimul rând folosirea metodelor de autentificare în doi pași, precum și educarea angajaților cu privire la politicile de securitate și cele mai bune practici.

Pentru cei interesați, prezentarea integrală a lui Righard poate fi citită aici:

Transformarea digitală nu se poate face peste noapte

Tudor Galoș, consultant business, GDPR și transformare digitală a abordat aceeaşi temă a transformării digitale dintr-o perspectivă practică și deosebit de pragmatică față de șabloanele preluate în prezentările corporatiste de business.

Principalele diferențe față de idealul teoretic al fenomenului de transformare digitală constau în faptul că principalele cinci elemente au înțelesuri practice diferite:

  • Oamenii sunt nu numai una dintre poverile procesului de business, ci trebuie să fie nucleul și motorul transformărilor, căci transformarea digitală nu este despre tehnologie, ci este despre oameni.
  • Lucrul în echipă înseamnă în primul rând comunicare și o deschidere a fiecăruia pentru a lucra mai bine cu colegii.
  • Conformitatea cu oricare dintre regulamentele existente sau pe cale de apariție este mult mai ușor de asigurat în momentul în care organizația dispune deja de o serie de procese, proceduri, politici și pârghii, care facilitează ordinea și procesul de acomodare la schimbare.
  • Optimizarea proceselor, care în fond  înseamnă scăderea costurilor și creșterea veniturilor, nu se poate face în absența auditurilor care reflectă starea organizației pe baza datelor la zi.
  • Automatizarea se referă la sisteme care discută între ele și care oferă tot timpul utilizatorilor date în timp real, de care au nevoie pentru eficientizarea proceselor de business.

Există analize complexe de tip barometru al digitalizării care se bazează pe o serie de  metrici precum strategia organizației pentru procesul de transformare digitală, alocarea poziției de lider pentru coordonarea acestui proces, valorificarea punctuală a unora dintre programele de digitalizare cu efecte cât mai rapide, abordarea obstacolelor legate de costuri sau modul de asimilare a beneficilor prin simplificarea proceselor.

În concluzie, cei care au în vedere proiecte de transformare digitală trebuie să înțeleagă că acest proces nu se face peste noapte, se face apelând la specialiști și la servicii de consultanță, că asigurarea elementelor esențiale de securitate a datelor personale facilitează cultura de securitate a informației la nivel de organizație și, nu în ultimul rând, că orice proces de transformare nu se poate face în absența controalelor de managementul schimbării.

Cei care vor să urmărească prezentarea ”Transformarea digitală, despre ce ar trebui să fie” susținută de Tudor Galoș în cadrul ESET Security Days pot accesa înregistrarea de aici:

Chiar dacă ne baricadăm în profunzime, nimic nu este  impenetrabil

Mergând mai departe cu noua paradigmă a securității informației pe fondul tendinței generale de transformare digitală extrapolarea acestui subiect, în cadrul prezentării ” Securitatea în profunzime a murit. Trăiască ”zero trust!”, Adrian Munteanu s-a referit la faptul că mutațiile produse în ultimii 2 ani ne spun că o simplă schimbare de strategie privind securitatea informației nu este suficientă. E nevoie de mai mult de atât.

Foarte interesantă paralela istorică a evoluției conceptului de securitate care ne conduce în urmă cu sute de ani, în care orice strategie de apărare se bazează pe eforturi de organizare în profunzime, iar oamenii au început să perceapă faptul că nu există nimic impenetrabil.

Pornind de la abordarea multistratificată arhicunoscută a sistemelor informatice bazată pe inelele concentrice de asigurare a perimetrelor, a rețelelor, a punctelor de lucru, aplicațiile și datelor, în practică s-a dovedit că orice garanție de securitate menită să genereze încredere poate fi depășită cu ușurință. Teoria de bază a conceptului ”zero trust”, dincolo de traducerea simplistă ce face referire la lipsa de încredere, este preluată din cerințele NIST și se referă la „un model de Securitate care asumă că atacatorul este deja înăuntru și că un mediu enterprise controlat nu este cu mult diferit de unul neadministrat.

Principiile de bază ale acestui model se referă la necesitatea de verificare a identităților, plecând de la premiza că există deja o problemă de Securitate, iar accesul utilizatorilor la resurse trebuie să se bazeze pe minimul necesar pentru a-și face treaba, adică pe privilegii minime. Cei 7 piloni de bază ai unei strategii bazate pe modelul ”zero trust” constau în verificarea securităţii identităţii, asigurarea dispozitivelor endpoint, securitatea aplicaţiilor, securitatea datelor, vizibilitatea și analiza proceselor, automatizarea și micro-segmentarea prin securizarea reţelelor.

Prezentarea lui Adrian Munteanu intitulată ”Securitatea în profunzime a murit. Trăiască ”zero trust!” poate fi vizualizată în întregime la adresa:

Nevoia de certitudini prin adoptarea de standarde

Având onoarea de a încheia acest maraton de prezentări care au abordat fenomenul transformării digitale din toate perspectivele, am simțit nevoia de a face o analiză din perspectiva nevoii de standarde, care prin procedurile, politicile și controalele impuse pot constitui motorul consolidării unei adevărate culturi care înglobează elementele legate de securitatea informației, prelucrarea datelor personale și asigurarea confidențialității acestora.

Plecând de la diversitatea de subiecte abordate astăzi, m-am gândit ca la final să ofer o paralelă între 2 standarde: ISO 27001 – mai cunoscut și deja folosit pe scară largă și ISO27701 – aflat la început de drum, dar cu așteptări promițătoare.

Din considerente de spațiu și de valorificare mai eficientă a informației, voi pregăti un articol separat dedicat prezentării: ”Rolul standardelor de securitate și confidențialitate în construirea unei culturi bazate pe un ecosistem digital deschis”, ce va fi publicat pe site-ul GDPR Ready.

One thought on “DE LA INEFICIENȚA STRATEGIILOR DE PROFUNZIME, CĂTRE O CULTURĂ A SECURITĂȚII ȘI CONFIDENȚIALITĂȚII DATELOR

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.