Videoconferinţa ZF Huawei - Conectăm România. Cybersecurity pentru biroul virtual. Provocările postpandemie pentru securitatea datelor. „Reglementările sunt cele care dezvoltă zona de securitate cibernetică, dar autorităţile trebuie să aibă o abordare comună“
♦ „Viteza de adaptare la ameninţările cibernetice trebuie să fie foarte mare atât ca inovaţie cât şi financiar“ ♦ „Acum taskurile vin de la management spre departamentele de securitate cibernetică, pentru că au înţeles că businessul trebuie să fie rezilient şi din acest punct de vedere.“ ♦ „Standarde există, dar e vorba de asumare şi implementare.“
Reglementările au fost cele care au dezvoltat securitatea cibernetică în anumite industrii, acolo unde au existat şi au fost şi implementate, cum ar fi industria financiar – bancară, însă, pentru a accelera dezvoltarea securităţii cibernetice şi în alte sectoare de activitate este nevoie ca autorităţile să aibă o abordare comună şi să vină cu reglementări care să fie asumate şi implementate, au spus invitaţii prezenţi în cadrul evenimentului online „Conectăm România. Cybersecurity pentru biroul virtual. Provocările post pandemie pentru securitatea datelor“, organizat de ZF în parteneriat cu Huawei România.
„Cele mai mature industrii, la nivel naţional, în zona de securitate cibernetică sunt cele care au avut o componentă de reglementare puternică, acesta fiind şi motivul pentru care zona financiar - bancară este cea mai bine dezvoltată în această zonă. Reglementarea a fost un element bun, dar trebuie să vedem cum se dezvoltă în continuare şi avem nevoie de o abordare comună la nivelul autorităţilor. Standarde există dar e vorba de asumare şi implementare“, a spus Gabriel Tănase, partener în zona de technology and cyber security în cadrul companiei de audit şi consultanţă KPMG România.
Elena Gheorghe, country manager în cadrul PayU România, unul dintre cei mai mari procesatori de plăţi online de pe plan local, spune că jucătorii din industria financiară sunt nevoiţi să facă diverse teste pentru a descoperi vulnerabilităţile şi pentru a demonstra că sunt pregătite din punct de vedere al securităţii cibernetice, ceea ce i-a ajutat în 2020 când au fost nevoiţi să ia măsuri în contextul pandemiei.
„Industria financiară a urmat anumite standarde de securitate, verificări, teste, pentru că în această industrie se pune mare accent pe partea de securitate. Spre exemplu, pentru noi această migrare spre munca de la distanţă nu a fost o provocare pentru că eram pregătiţi pentru a face acest pas, eram obişnuiţi cu procedurile care trebuia aplicate, aplicând teste şi proceduri interne pentru a ne pregăti cât mai bine. Pentru noi este business as ussual“, a spus Elena Gheorghe.
Ea a menţionat că PayU înregistrează o rată de fraudă de 0,09%, comparativ cu nivelul european de 0,2%.
De asemenea, Andrei Avădănei, fondator şi CEO al Bit Sentinel, companie specializată în furnizarea de servicii şi soluţii de securitate IT, spune că motivul principal al firmelor care au solicitat servicii de securitate cibernetică în ultimii doi ani a fost nevoia de a demonstra altor jucători cu care voiau să colaboreze sau care trebuia să le devină clienţi, că au un nivel ridicat de securitate.
„În ultimii doi ani vin companii către noi mai mult pentru că un viitor client le cere anumite măsuri de securitate pe care trebuie să le demonstreze, ceea ce cred că este foarte bine. În cazul ăsta este ca şi cum ne ducem la doctor pentru că altfel nu putem ieşi în spaţiul public, să spunem“, a spus Andrei Avădănei.
El a adăugat că în România sunt zeci de milioane de încercări de atacuri cibernetice în fiecare lună şi, în fiecare zi, între 10 şi 100 dintre aceste atacuri au succes, însă, din ce în ce mai multe industrii şi sectoare de activitatea încep să fie mai interesate de securitatea cibernetică.
„Exceptând industriile bine reglementate celelalte sunt cam la acelaşi nivel, în sensul în care au început să se intereseze mai mult de soluţii de securitate, probabil că încep să aibă bugete pentru soluţii şi servicii de securitate. Însă, unele companii nici nu erau digitalizate, iar următorul pas va fi momentul în care vor înţelege că acele tehnologii necesită şi auditor de securitate, necesită şi evaluarea configurărilor echipamentelor.“
Şi Sergiu Zaharia, cyber security officer în cadrul sucursalei locale a gigantului Huawei din China, afirmă că măsurile luate în urma pandemiei au făcut ca antreprenorii şi angajatorii să îşi îndrepte atenţia din ce în ce mai mult şi spre securitatea cibernetică.
„Înainte de pandemie noi încercam să promovăm securitatea cibernetică spre management, încercam să le explicăm importanţa securităţii cibernetice, dar acum task-urile vin de la management spre departamentele de IT pentru că reprezentanţii au înţeles că businessul trebuie să fie rezilient şi din acest punct de vedere“, a spus Sergiu Zaharia.
El consideră că acesta este momentul în care autorităţile trebuie să reglementeze securitatea cibernetică în toate sectoarele de activitate pentru a consolida această zonă.
„Vedem că lucrurile au fost luate în serios odată cu accelerarea digitalizării. Trebuie să ne gândim să venim cu standarde de securitatea pe care să le împingem spre alte sectoare de activitate, să îşi facă acel base line de securitate. Soluţii există, dar viteza cu care creşte inteligenţa atacurilor cibernetice este atât de mare încât nu ai putere financiară să pui tehnologie peste toate tipurile de ameninţări. Viteza de adaptare la ameninţările cibernetice trebuie să fie foarte mare atât ca inovaţie cât şi financiar.“
De asemenea, în urma migrării angajaţilor spre munca de la distanţă, Adrian Furtună, fondator şi CEO al PentestTools, companie ce a dezvoltat o platformă ce facilitează desfăşurarea testelor de securitate cibernetică, spune că pe piaţa locală companiile au acordat mai multă importanţă securizării reţelor angajaţilor.
„Am observat o creştere a interesului pentru securizarea reţelelor de acasă, odată cu mutarea angajaţilor acasă cu tot cu laptopurile de firmă, pentru că reţelele de acasă nu au control şi depinde doar de conştinciozitatea angajatului şi de cât de mult vrea să se protejeze de riscurile de securitate cibernetică.“
Sergiu Zaharia,
cyber security officer Huawei România
► Securitatea cibernetică a devenit din ce în ce mai importantă, vedem asta. Înainte noi încercam să promovăm securitatea cibernetică spre management, încercam să le exlicăm importanţa securităţii cibernetice, dar acum taskurile vin de la management spre departamentele de IT pentru că echipele de management au înţeles că businessul trebuie să fie rezilient şi din acest punct de vedere.
► Dacă ai mai mult de lucru ai nevoie de mai multe resurse. România produce aceşti specialişti dar cred că nu reuşim să producem atât de mulţi pe cât cere piaţa. Există un fenomen similar cu ceea vedem că se întâmplă cu medicii. Nu există şomaj în zona de securitate cibernetică dar trebuie să îi ajutăm pe specialiştii din zona de securitate să muncească mai eficient. Să ne folosim de partea de cercetare din zona de securitate cibernetică şi să reuşim să implementăm partea de cercetare, să fim activi când se va operaţionaliza Centrul European de Securitate Cibernetică.
► Înainte de pandemie erau companii în vestul Europei care planificau munca de acasă. Eram cosultant atunci şi era vorba de o companie din domeniul bancar. Proiectul trebuia să se deruleze pe următorii doi ani, dar în contextul pandemiei au mărit ritmul. Alte sectoare nu au fost atât de bine pregătite pentru că securitatea cibernetică nu era un punct forte pentru ei, spre exemplu zona medicală. Şi e greu să implementezi securitatea cibernetică într-un loc care nu a avut niciodată focus pe această parte.
► Vedem că lucrurile au fost luate în serios odată cu accelerarea digitalizării în contexul pandemic. Trebuie să ne gândim să venim cu standarde de securitate pe care să le împingem spre alte sectoare de activitate, să îşi facă acel „base line” de securitate.
► Soluţii de securitate cibernetică există, sunt foarte multe, dar viteza cu care creşte inteligenţa atacurilor cibernetice este atât de mare încât tu, ca entitate, nu ai putere financiară să pui tehnologie peste toate tipurile de ameninţări. Viteza de adaptare la ameninţările cibernetice trebuie să fie foarte mare atât ca inovaţie cât şi financiar.
► Există tehnologii de securitate cibernetică mai nou pentru mediul enterprise care sunt gândite să ofere un nivel de transparenţă pentru utilizatori, adică pentru angajaţi. Şi atunci angajatul nu mai simte că trebuie să primească 100 de aprobări înainte să facă ceva. Dar dacă vorbim despre noi, ca oameni care stăm la noi acasă, nimeni nu o să ne pună sisteme de monitorizare pe laptop. Transparenţa este des întâlnită în mediul enterprise şi pentru că sunt multe soluţii transparente dedicate angajaţilor.
Gabriel Tănase,
partener în zona de Technology şi Cyber Security, KPMG România
► În România, cele mai mature industrii în zona de securitate cibernetică sunt cele care au avut o componentă de reglementare puternică. Reglemenatrea a fost cea care a dezvoltat această zonă de securitate cibernetică.
► Reglementarea a fost un element bun, dar trebuie să vedem cum se dezvoltă în continuare. Pentru că o reglementare prea dură nu este bună şi cred că ar trebui la nivelul autorităţilor să fie o abordare comună.
► Experienţa utilizatorilor este foarte importantă. Cred că eu prefer să ştiu că sunt toate măsurile de securitate implementate şi să ştiu că acţiunile mele sunt securizate. Spuneam despre open banking, acolo sunt standarde ce trebuie aplicate, se ştiu excepţiile, deci, în zona asta cred că putem spune că unde e lege nu e tocmeală, iar legea a venit pentru a proteja mai mult partea de consumatori, decât banca sau compania. Standarde există dar e vorba de asumare şi implementare.
► S-a intensificat şi tipul de atac în care pe baza unor e-mailuri se cerea transferul de bani în diverse conturi. Şi a fost un caz recent în România unde un astfel de atac a avut succes. S-au intensificat toate tipurile de atacuri care au putut fi dezvoltate pe această migrare a angajaţilor din perimetrul corporate spre reţelele de acasă, unde, dacă nu au securizat şi nu au ştiut, a fost greu să nu fie compromişi.
► Riscurile au devenit mai mari pentru reţelele de acasă. Nu doar că angajaţii folosesc laptopurile sau PC-urile personale pentru muncă, dar folosesc calculatoarele companiei atât pentru a munci cât şi pentru a ajunge la alte resurse pe internet, din motive personale, precum site-uri de filme care nu sunt tocmai sigure. Sunt mai greu de controlat riscurile în zona asta dar e clar că paşi importanţi s-au făcut paşi.
► Utilizatorul va dori mereu să fie totul cât mai simplu, să nu mai bage parole, să nu mai primească mail de verificare, mai ales că nu e responsabilitatea lui, iar dacă se întâmplă ceva dă vina pe departamentele de IT ale companiilor.
Elena Gheorghe,
country manager PayU România
► Industria financiară e foarte reglementată şi să zicem că e mai pregătită din punct de vedere al atacurilor cibernetice pentru că trebuie să facă dovada că este pregătită. Avem experienţă mare pe piaţa locală, am depăşit 10 ani de activitate în România, prin aplicarea unor astfel de standarde care sunt internaţionale, nu naţionale.
► Suntem pregătiţi la nivelul standardelor pe care le urmăm. Avem diverse teste de penetrare şi proceduri interne care se fac pentru a descoperi ce avem de schimbat şi de îmbunătăţit.
► Cu siguranţă băncile au urmat anumite standarde de securitate, verificări, teste, pentru că în această industrie se pune mare accent pe partea de securitate.
► Pentru noi această migrare spre munca de la distanţă nu a fost o provocare pentru că eram pregătiţi pentru a face acest pas, eram obişnuiţi cu procedurile care trebuiau aplicate şi deja făceam teste pentru a ne pregăti cât mai bine. Pentru noi este business as ussual.
► Avem întotdeauna un ochi către experienţa utilizatorilor - pentru că este un factor foarte important, unul către ceea ce ne cer şi au nevoie comercianţii pentru a acomoda un flux cât mai uşor pentru clienţi şi ne uităm şi la potenţialele fraude. Avem o rată de fraudă de 0,09%, comparativ cu nivelul UE de 0,2%. Până acum am făcut faţă cu succes şi o să facem faţă pentru că suntem motivaţi şi atenţi şi avem deja experienţă pe zona de securitate cibernetică. Ne uităm şi la a educa clienţii finali, comunicăm schimbările – precum metodele de autentificare -. Acum avem autentificare cu parolă din aplicaţia băncii şi o a doua metodă cu SMS şi o parolă statică pe care o setează clientul final. Adică avem două parole cerute pentru o tranzacţie.
► Presiunea de a scăpa de aceste autentificări şi verificări este mare însă încercăm să găsim soluţii pentru ca serviciul să fie cât mai simplu pentru client şi în acelaşi timp să fie şi cât mai sigur. Dar nu vom ceda presiunii, pentru că e important să avem securitate.
Adrian Furtună,
founder şi CEO, PentestTools
► Prin intermediul platformei facem munca mai uşoară pentru specialiştii de securitate cibernetică, adică îi ajutăm ca aceleaşi proiecte pe care le fac în mod obişnuit să le facă cu mai puţine resurse şi mai eficient. Proiecte de testare de securitate cibernetică sau penetration testing – testare proactivă a securităţii unui sistem informatic cu scopul de a găsi breşele de securitate înaintea unor atacatori. Ca rezultat al unui astfel de „pentest” compania primeşte un raport cu vulnerabilităţile identificate pentru a le putea remedia înainte ca hackerii să pornească atacurile.
► Acţionăm mai puţin pe piaţa locală, suntem prezenţi mai mult pe pieţele din Statele Unite ale Americii şi Marea Britanie. Am pornit global de la început, nu avem graniţe. Interesul pentru astfel de soluţii şi servicii pare că e corelat şi cu puterea financiară, implicit avem mai mulţi clienţi în SUA decât în România.
► Pe piaţa locală am observat o creştere a interesului pentru securizarea reţelelor de acasă, odată cu mutarea angajaţilor la munca remote – mutarea angajaţilor acasă cu tot cu laptopurile de firmă. Reţelele de acasă nu au control şi depinde doar de conştiinciozitatea angajatului cât de mult vrea să se protejeze de riscurile de securitate cibernetică.
► Uşurinţa de a face o operaţiune cu date sensibile şi siguranţa acestei operaţiuni sunt doi termeni contradictorii, adică este destul de imposibil să faci o operaţiune extrem de uşor şi extrem de sigur, în acelaşi timp. În schimb, dacă ne referim la plăţi, ce am văzut că fac unele bănci, în ultima vreme, sunt implementate nişte nivele de risc. Dacă riscul estimat al acelei operaţiuni este mic, atunci ei vor pune măsuri de securitate mai simple, dacă riscul estima este mai mare, respectiv, vrei să faci o tranzacţie mare ca valoare către un destinatar către n-ai mai făcut niciodată o tranzacţie de aşa amploare, atunci banca adaugă mai multe măsuri de securitate astfel încât să se asigure că tu eşti cel care faci plata respectivă. Asta ar putea fi o soluţie, dar să avem extrem de uşor şi sigur nu văr în acelaşi loc.
► Despre ameninţările cibernetice de acasă, prin 2012 siteul Linkedin a suferit un atac prin care toate datele utilizatorilor au fost făcute publice, iar întrebarea era cum au reuşit atacatorii să spargă reţeaua. Recent, am aflat că un administrator de sistem al companiei lucra de acasă şi pe lângă laptopul de birou mai avea un server în rreţeaua locală cu nişte aplicaţii pe care le dezvoltase singur ca hobby, iar nişte atacatori şi-au dat seama că acela este angajatul Linkedin şi l-au luat ca ţintă.
Andrei Avădănei,
fondator şi CEO, Bit Sentinel
► Pregătim companiile pentru astfel de atacuri. În ultimii doi ani au început să vină mai multe companii către noi din diverse motive, spre exemplu, un viitor client le cere anumite măsuri de securitate pe care trebuie să le demonstreze, ceea ce cred că este foarte bine. În cazul ăsta ne ducem la doctor pentru că altfel nu putem ieşi în spaţiul public, să spunem.
► Cred că 9 din 10 cazuri atunci când realizăm un test de penetrare în cadrul unei companii care nu a mai făcut unul, acesta se soldează cu vulnerabilităţi critice, ceea ce înseamnă că cineva a avut acces la anumite date, poate bloca activitatea companiei.
► Exceptând industriile bine reglementate celelalte sunt la acelaşi nivel, au început să se intereseze mai mult de soluţii de securitate. Unele companii nici nu erau digitalizate iar următorul pas va fi momentul în care vor înţelege că au nevoie şi de această zonă de securitate cibernetică.
► Centrul Naţional de Răspuns la Incidente de Securitate şi o altă autoritate în domeniul securităţii cibernetice mai este Centrul Naţional Cyberint al SRI, ei sunt probabil primii apelaţi când cineva se confruntă cu astfel de atacuri. În mediul privat există centre private care au cam aceleaşi capabilităţi şi intervin în caz de incidenţă, asistă companiile în procesul de răspuns la incidentul informatic, inclusiv interacţiunea cu presa şi cu autorităţile publice. Pentru că spre exemplu, în cazul GDPR, un astfel de atac trebuie raportat în maxim 72 de ore la autoritatea aferentă. La fel, sunt situaţii în care incidentul este publicat pe internet şi trebuie să răspunzi în relaţia cu victimele, persoanele afectate. Aceste lucruri pot fi o provocare extraordinară dacă până atunci o companie nu s-a mai lovit de ele, şi pot face diferenţa între un impact dezastruos asupra reputaţiei companiei şi un rezultat controlat, să spunem.