Am fost vineri la Eset Security Days, eveniment anual pe piața locală legat de securitate IT. Am prins câteva prezentări legate de cele mai recente incidente descoperite de compania slovacă, dar și două prezentări despre GDPR.
Noi incidente raportate de Eset
L-am revăzut la București pe Righard Zwienenberg, Senior Research la Eset, pe care l-am cunoscut în vizita la Bratislava, la sediul companiei. Prezentarea lui a fost ca întotdeauna la obiect, dar și amuzantă, cu accent pe rezultate, dar într-un mod plăcut. A început cu Cloud Computing și cloud privat pentru companii, cu diverse exemple despre riscuri de securitate și măsuri care pot fi luate de către directorii IT. Principalele riscuri sunt legate de vulnerabilități și atacuri informatice, dar există și potențialul unor angajați rău intenționați la furnizorul de cloud (insider abuse).
El a atins de asemenea subiectul GDPR și a avertizat că Eset a descoperit mai multe organizații false care spun că se ocupă de GDPR și de fapt doar șantajează companiile europene. Ei au site-uri fake și cer companiilor să cumpere diverse certificate digitale sub amenințarea că vor plăti amenzi uriașe dacă nu o fac. Toate aceste mesaje și amenințări trebuie verificate cu autoritățile oficiale ale statului, nu luate de bune după mailuri sau scrisori primuite la birou.
În fine, Righard a vorbit despre Internet of Things, de la Industrial IoT la camerele de securitate pe care le instalăm acasă, apreciind că, de multe ori, atât companiile cât și consumatorii instalează acete gadgeturi și le „uită acolo”. Ele sunt conectate 24/7 la Internet și nu de multe ori sunt vulnerabile, nu sunt actualizate sau protejate corespunzător.
Pentru că sistemele de operare sunt acum securizate by default în companii, atacatorii se concentrează tot mai mult pe routere – lăsate vulnerabile și cu acces bazat pe username admin și parola admin, precum și pe alte dispozitive IoT, mai ales cele care au funcții de acces de la distanță și sunt de asemenea lăsate cu setările standard din fabrică. Atacatorii încearcă apoi să servească pagini web false, care imită pe cele ale băncii sau ale instituțiilor financiare și să obțină astfel datele de log-in pentur banking sau transferuri de bani. alte dispozitive sunt doar „racolate” în rețele de tip botnet care participă apoi la atacurile informatice asupra altor victime.
Oficialul Eset a vorbit și despre un sediu inteligent automatizat care poate fi controlat de la distanță de hackeri, care vor cere apoi răscumpărare.
Despre GDPR
Radu Crahmaliuc și Tudor Galoș au avut prezentări despre impactul GDPR asupra afacerilor. Preentarea lui Radu a fost mai generală, ideea principală fiind că firmele trebuie să regândească modul în care lucrează, punând datele clienților pe primul loc în abordarea lor generală. Să fie protejate, ușor de identificat și eliminat, să există proceduri, oamenii să fie pregătiți. Regândind sistemele interne compania poate fi mai ușor adaptabilă la următoarele reglementări, nu doar să respecte regulamentul actual. În general, companiile sunt în continuare nepregătite și de multe ori nu există nicio pregătire dincolo de discuțiile și ședințele legate de GDPR, majoritea cazurilor fiind soluționate după amenzi. Unele firme au luat amendă după ce s-au prezentat singure în fața autorității încercând să vadă care este procedura corectă.
Tudor Galoș a dat multe exemple interesante de companii care au luat amendă pe tema GDPR și care a fost contextul. De exemplu un spital care avea o soluție IT în care stoca datele pacienților, doar că la ele nu aveau acces doar medicii, cum ar fi oarecum logic, ci oricine cunoștea adresa bazei de date se putea uita, chiar și femeia de serviciu de la spital. Au luat o super-amendă și a durat de fapt foarte puțin să securizeze accesul. Problema este că multe companii nu realizează că pun datele clienților în pericol dacă le lasă așa, fără niciun fel de protecție. Altele nu realizează că și combinația de nume, adresă de email, adresa de acasă, constituie și astea date cu caracter personal. Au fost multe exemple, precum utilizarea Gmail în firmă = expui datele clienților către Google. Una peste alta, un eveniment util, cu multă informație relevantă pentru cei din companii.
