Am urmărit online ESET Security Days 2022, un eveniment care a adus la un loc mai mulți specialiști cunoscuți din industrie. Am extras din prezentările lor ideile principale, dar și studii de caz și demonstrații utile.

Eset Security Days 2022

ESET Security Days este un eveniment anual, care aduce în fața invitaților subiecte și trenduri din peisajul curent de securitate cibernetică, pentru a fi discutate și dezbătute de către specialiști din domeniu.

Eset Security Days 2022

Mi-a plăcut realizarea de tip conferință virtuală, platforma s-a dovedit bună, ușor de folosit și a funcționat ok. Prima prezentare i-a aparținut lui Iulian Alecu, director general adjunct al Direcției Naționale de Securitate Cibernetică (DNSC) – instituția care a încorporat fostul CERT-RO. Nu a fost desființat fostul CERT, ci integrat într-o autoriate mai extisă, cu responsabilități mai vaste. CERT Ro era limitat la reacția la anumite incidente. Noua instituție nu va fi limitată.

Primii pași vor fi legați de pregătirea specialiștilor în securitate IT. Va fi realizat un parteneriat între specialiști, instituții de stat și cele de educație, pentru a forma angajații necesari acestui domeniu. A vorbit despre o viziune națională privind colaborarea dintre actorii privați și instituții, autorități. Nu doar pentru educație, ci și pe partea de detecție, investigații, cercetpri, răspunsuri la incidente. Toate în modul coordonat.

Despre asigurări în domeniul securității IT

Călin Rangu, membru fondator CIO Council Romania, a povestit apoi despre asigurările în domeniul securității IT. Pe scurt, în viitor asigurarea la incidente IT va deveni un fel de RCA. Poate nu neapărat o obligativitate de la stat, dar o necesitate pentru companii. Conform unor studii, pierderile cauzate de incidente de securiate IT au depășit ca valoare în 2019 pagubele cauzate de castrofe naturale precum inundații sau cutremure.

Piața asigurărilor legate de incidentele de securitate IT este cifrată acum la 14-15 miliarde de euro pe an. În 2025 veniturile vor urca la 18 miliarde euro. Tendința este însă de a se dubla în perioada următoare. Există anumite reglementări europene în acest sens. În România deocamdată nu avem așa ceva. Încă ne limităm doar la asigurările auto.

La nivel internațional, pagubele create de un incident informatic se cifrează la 2,5 milioane de euro. În România o medie a acestor pierderi se cifrează la circa 400-500.000 de euro. Este o sumă care dă de gândit și probabil nimeni nu ar putea să o achite pe loc fără să ajungă în faliment.

Despre rolul directorului IT

Următoarea prezentare a fost a lui Bogdan Tudor, vice-președinte al CIO Council (asociația directorilor de tehnologia informațiilor și comunicații). Directorul IT este cel care supervizează toate activitățile digitale ale companiei. Inclusiv incidentele informatice și gestionarea securității IT. A vorbit mult de transformarea digitală a companiilor și de provocări și pericole în acest domeniu.

Exemple sunt nenumărate. De la comerțul electronic, livrarea prin curier rapid, livrarea de mâncare. Cum a evoluat industria divertismentului prin servicii online. Robotizare în depozite. Apeluri la call center și service rezolvate de roboți automați. Iar toate aceste tendințe de astăzi sunt accelerate în următorii ani.

Cât costă lipsa securității?

A urmat apoi Toma Cîmpeanu, CEO ANSSI (Asociația națională pentru securitatea sistemelor informatice). Criminalitatea informatică a generat anul trecut pagube de 6.000 de miliarde de dolari. Iar în 2025 cifrele vor fi aproape duble. Reprezintă o “a treia economie a lumii” după Statele Unite și China. Timpul mediu de identificare a unei breșe informatice este de 200 de zile, la care se adaugă un timp de reacție de 280 de de zile în medie. Aproape un an și jumătate în care pirații internetului pot face ce vor. Aproape 95% din malware vine prin e-mail, iar incidentele se datorează tot erorii umane.

Dark Web

Internetul normal este însă doar vârful unui iceberg. Cam 96% din traficul online merge în zona de Dark Web, unde se pot vinde și cumpăra orice tip de servicii sau produse. De la informații, baze de date, substanțe, arme, carduri, acte și așa mai departe.

social media

Principalii stâlpi ai securității IT

Righard Zwienenberg, senior research fellow la ESET, a vorbit despre elementele principale ale strategiei de securitate IT. Titlul prezentării sună mai bine în engleză “Three T’s for Twenty Twenty Two”. Primul T este reprezentat de Tendințe, la care specialiștii trebuie să fie foarte atenți. Al doilea este legat de Threats – amenințările care sunt active și al treilea este Tips, sfaturile pentru a te feri mai bine.

Vulnerabilitățile software sunt tot mai des exploatate de infractorii cibernetici. Din păcate tot mai multe probleme au fost descoperite în sisteme de operare și aplicații. În fiecare zi, peste 50 de vulnerabilități noi sunt descoperite. Problema poate fi parțial rezolvate cu actualizări automate. Eliminarea aplicațiilor și platformelor depășite. Există de asemenea problema parolelor prea simple. Avem prea multe parole pe care să le țină minte. Se folosesc aceleași parole la conturi multiple, dând astfel avantaj piraților internetului. Un Password Manager devine obligatoriu. Iar autentificare în doi pași este obligatorie.

Sunt multe alte exemple de probleme majore: utilizarea de WiFi neparolat. Oferirea de informații la telefon unui apelant necunoscut. Lipsa unui backup pentru date. Sunt cunoscute, deși rămân probleme foarte mari pentru toate companiile.

Amenințările sunt multiple, dar pe termen scurt. Serviciile cloud au devenit importante în perioada de pandemie. Dar majoritatea duc lipsă de soluții clare de securitate. Chiar dacă are soluții de securitate eficiente, tot utilizatorul final – adică tu sau angajatul – este vulnerabil în continuare.

Digitalizare și GDPR

Tudor Galoș, consultant de afaceri cu experiență în transformare digitală și în gestionarea proiectelor de conformitate GDPR, a povestit din experiența sa. Pandemia a accelerat transformarea digitală, dar s-a făcut ad-hoc. Transformarea digitală este și despre oameni, chestie pe care o uităm. Angajații trebuie educați, trebuie să înțeleagă procedurile, dar și riscurile.

digitalizare

Automatizarea va fi un fenomen tot mai intens. Automatizări care vor colecta date, sisteme care vor analiza aceste date. Astfel încât deciziile să fie luate pe baza informațiilor.

barometru

Încredere zero

Adrian Munteanu, profesor și specialist în auditul sistemelor informaționale, securitatea sistemelor informatice, managementul serviciilor și guvernanței IT. El a vorbit despre Zero Trust, un concept nou care sprijină securitatea companiei la modul general. Zero Trust este o schimbare a apărării rețelei către un model de securitate IT mai cuprinzător, care permite organizațiilor să restricționeze controalele de acces la rețele, aplicații și mediu, ar fără a sacrifica performanța și experiența utilizatorului. Pe scurt, o abordare Zero Trust nu are încredere în nimeni.

zero trust

Conceptul este simplu: presupui că deja infractorii sunt infiltrați în organizație. Nu presupui că ești safe, nu crezi că e totul bine. Toată lumea trebuie să aibă acces limitat și minimul necesar. Iar mai departe totul merge în adâncime. Ce terminale sunt folosite, ce rețele sunt folosite, cum circulă datele în organizație, segmentarea rețelei și management securizat.

Instituțiile americane vor aborda în următoarea perioadă modelul de securitate IT Zero Trust.

Standarde interne de securitate IT

Evenimentul a fost încheiat de Radu Crahmaliuc, analist GDPR și auditor ISO27001. El a tras și câteva concluzii privind strategia de securitate IT.

standarde

Standardul de management al securității IT este ISO27001. Reprezintă o familie de standarde care trebuie aplicate în companii. Acest sistem oferă recomandări pentru păstrarea sub control al tuturor riscurilor informaționale, aducând o clarificare asupra tuturor tipurilor de amenințări și oferă direcții de tratare ale metodelor de protecție pentru asigurarea supraviețuirii companiei, minimizarea daunelor financiare și apoi mixamizarea perspectivelor organizației dar și a întregului profit.

Pe lângă fișa postului și regulamentul de ordine interioară, angajații trebuie să respecte și cultura de securitate IT.