ZF Cybersecurity Trends 2022. Atacurile cibernetice au doar o singură direcţie: de creştere. Mai bine ne pregătim şi prevenim decât să plângem şi să încercăm să remediem ulterior
♦ Partea de digitalizare trebuie să vină şi cu o responsabilitate în domeniul protecţiei şi prevenţiei ♦ Pe lângă awareness-ul pe care trebuie să-l aibă utilizatorii finali, trebuie să existe o actualizare şi o învăţare continuă şi a specialiştilor în securitate informatică ♦ Se pot face şi nişte paşi de prevenţie, se poate face şi o componentă de securizare în acest plan de risc şi se pot restaura serviciile foarte rapid. ♦ Nu trebuie să aşteptăm, ci să construim, să regândim ce înseamnă strategie de securitate sau de rezilienţă cibernetică.
Migrarea spre munca de la distanţă din perioada pandemiei dar şi războiul izbucnit lângă România au adus şi o creştere în zona de atacuri cibernetice, tendinţă care va continua şi de acum înainte, au spus reprezentanţii industriei de securitate informatică în cadrul conferinţei ZF Cybersecurity Trends 2022. Explozia atacurilor ransomware. Ei au explicat că în contextul actual, companiile trebuie să înveţe să îşi direcţioneze investiţiile şi atenţia spre partea de prevenţie a unui atac, deoarece costurile sunt mai mici decât în cazul în care atacatorii au pus deja stăpânire pe business.
„Fiind o zonă extrem de complexă şi chiar complicată din punct de vedere legislativ mi se pare că este mai bine să previn şi să investesc în sisteme şi în procese, să-mi întăresc rezistenţa mea la aceste atacuri versus să mă bazez că voi reuşi ulterior să recuperez, să repar şi aşa mai departe. Mai bine ne pregătim şi prevenim decât să plângem şi să încercăm să remediem ulterior“, a spus Cristian Herghelegiu, CEO Dendrio, VP Technology în cadrul Bittnet Group.
El a explicat că echipele din cadrul companiilor nu trebuie să se bazeze pe soluţiile de securitate şi tehnologiile dedicate implementate şi consideră că pentru a fi pregătit în faţa atacatorilor este important să existe un plan concret şi o echipă care să poată preveni atacurile cibernetice.
„Un prim pas foarte important este crearea unei echipe. Echipă care să ştie să intervină în caz de nevoie, adică să aibă instrumente, să aibă acces la informaţiile necesare. Departamentul de HR poate avea un rol foarte important. Este ideal ca în planul de risk management să ai un partener la care poţi să suni. Cu cât compania devine mai capabilă din punct de vedere digital, cu atât aceste instrumente sunt mai inteligente, avem infrastructuri care se reconfigurează singure, de exemplu. Se pot face şi nişte paşi de prevenţie, se poate face şi o componentă de securizare în acest plan de risc şi pot restaura serviciile foarte rapid, în cazul în care lucrurile s-au dus“, a mai spus Cristian Herghelegiu. Şi Victor Gânsac, CEO al SafeTech Innovations, companie românească de securitate cibernetică, consideră că pentru a evita un atac cibernetic este nevoie de pregătire şi prevenţie.
„Suntem în plin război cibernetic şi cu cât creştere digitalizarea, suprafaţa de atac creşte, şi noi vom avea mai multe atacuri cibernetice. Trebuie să venim cu procese de securitate pentru a fi pregătiţi pentru un atac. În primul rând trebuie făcută o analiză de impact şi de risc, apoi un plan de măsuri în urma căruia pot fi implementate măsurile corecte de securitate“, a spus Victor Gânsac.
Andrei Bozeanu, fondator al Dekeneas, care a dezvoltat o platformă ce detectează atacurile cibernetice complexe, consideră că cel mai important e ca echipele din cadrul companiei să înţeleagă tehnicile, tacticile, procedurile şi instrumentele folosite de atacatorii cibernetici şi să fie conştienţi de faptul că utilizarea unui echipament de securitate nu este suficientă pentru a se proteja de ameninţările cibernetice complexe.
„E important să se realizeze teste de penetrare, analize, statistici. Practic, asta e cea mai bună măsură de securitate pe care o pot lua companiile şi instituţiile statului. Trebuie înţeles faptul că securitatea cibernetică e un test continuu, iar abordarea trebuie să fie continuă şi holistică“, a spus Andrei Bozeanu în cadrul conferinţei ZF Cybersecurity Trends 2022.
De asemenea, Bogdan Botezatu, director în cercetare şi ameninţări informatice în cadrul Bitdefender, producător de soluţii de securitate cibernetică, este de părere că educarea utilizatorilor „ atât cei fizici, cât şi a angajaţilor din cadrul companiilor „ trebuie să accelereze şi ea odată cu noile tehnologii.
„Educaţia este foarte importantă pentru utilizator şi angajat. Trebuie să începem să ne alfabetizăm cu zona digitală. Să căutăm competenţele şi să le cultivăm. Trebuie să ştim de ce trebuie să ne ferim şi cum să folosim tehnnololgia în mod corect şi sigur“, a spus Bogdan Botezatu, adăugând că criminalitatea informatică a devenit o economie în sine.
„La începutul pandemiei vedeam undeva la 400 atacuri pe minut. Credeam că acela este apogeul. Anul 2021 s-a încheiat cu 550 atacuri pe minut în medie . La începutul ransomware-ului în 2011, atacatorii făceau cumulat undeva la 400 mil. dolari pe an. În 2020 o singură grupare de ransomware a făcut peste 2 mld. dolari şi vorbim de 40-50 de grupări care activează în paralel. Criminalitatea informatică a devenit o economie în sine. Dacă ar fi să o comparăm cu celelalte economii ar fi a treia mare economie globală după America şi China cu 6.000 mld. dolari cauzaţi în pierderi şi plăţi anuale.“
Despre educarea utilizatorilor şi angajaţilor cu privire la atacurile cibernetice a vorbit şi Adrian Badea, CyberSecurity Developpment Manager, S&T România, unul dintre cei mai mari integratori de soluţii IT&C de pe piaţa locală. Astfel, el a menţionat că specialiştii din departamentele de securitate cibernetică trebuie expuşi la o actualizare şi o învăţare continuă.
„Pe lângă awareness-ul pe care trebuie să-l aibă utilizatorii finali, trebuie să existe o actualizare şi o învăţare continuă şi a specialiştilor în securitate informatică. Atacurile sunt din ce în ce mai complexe, sunt pe mai mulţi vectori. Cu cât ne digitalizăm mai mult, cu atât introducem mai mulţi vectori, mai multe breşe, iar învăţarea continuă, adaptarea continuă a specialiştilor contează şi este foarte importantă“, a spus Adrian Badea.
Alex „Jay“ Bălan, Chief Information Security Officer (CISO), Superbet
► Atacatorii sunt oportunistici. Vor identifica o metodă de a face bani şi o vor folosi.
► Costă aproximativ 25 de dolari pentru a închiria un botnet de 5.000 de sisteme compromise. Dacă înmulţim 5.000 sisteme cu o medie de 100 megabiţi fiecare, iese o sumă măricică de date care pot fi trimise.
► Foarte multă lume consideră că reţeaua privată este safe. Este cel mai comun mit din 2022. Pe lângă faptul că le spunem oamenilor să îşi instaleze antivirus sau să facă update la antivirus în 2022, le mai spunem acum ceva ce nu ar mai trebui să fie mit, reţeaua privată nu este safe.
► Inovaţia nu se rezumă la un foarte talentat dezvoltator de soluţii de securitate, la un startup ambiţios, ci merge mai departe către educaţie, către educaţia tinerilor, despre formarea în sensul de a dobândi cunoştinţe în securitate cibernetică şi capabilităţi. Din punctul nostru de vedere, ea ar trebui să înceapă cât mai devreme. Sunt programe despre care poate nu vorbim suficient şi poate că nu le ridicăm suficient la fileu.
► Eu cred că cyber threat intelligence este mai mult decât un adagio la o infrastructură de securitate şi ar trebui să definească pe viitor felul în care noi, cei care lucrăm în securitate, începem să desenăm astfel de arhitecturi.
Liviu Arsene, Director of Threat Research and Reporting, CrowdStrike
►Peste 80% din breşele de securitate, precum ransomware, au la bază furtul de credenţiale de acces. E important să recunoşti semnele unui incident ransomware: vrea bani sau vrea să distrugă infrastructura.
► Trebuie să identificăm acele tehnici cheie care ne permit să luăm măsuri imediate pentru a bloca atacul cibernetic. Tehnicile se referă la modul în care interacţionează atacatorii cu infrastructura ta, paşii pe care îi fac ei de la momentul în care se conectează cu credenţialele furate de la un sistem, până la momentul în care pivotează în lateral în reţeaua ta, identifică resursele cheie, opresc serviciile de securitate, descarcă alt malware pe sistemele vitale şi apoi urmează criptarea datelor.
Alin Becheanu - Head of Fraud Monitoring and Prevention, ING
► Dacă vorbim de partea de atacuri informatice, cred că este important să înţelegem că vorbim de trei actori importanţi: companiile şi digitalizarea pe care ele au făcut-o în ultima perioadă, utilizatorii şi competenţele lor digitale, iar în al treilea rând vorbim despre atacatori, fraudatorii şi serviciile pe care le au ei.“
Ionuţ Alexandru Isac, Global Head of Cloud Security, Atos
► Nu cred că vorbim despre o creştere a atacurilor, ci despre o explozie. Cred că de când suntem aici s-au întâmplat undeva la 100 de atacuri ransomware, deci vorbim de un atac la fiecare 10 secunde. La întrebarea de ce există o explozie răspunsul este destul de simplu: pentru că se poate, pentru că este relativ uşor, pentru că vorbim de o sursă de generare de venituri rapidă şi de venituri mari.
Daniel Daraban, Director of Product Management, Bitdefender
► La nivel fundamental, XDR (Extended Detection and Response) ar trebui să rezolve problemele existente din cybersecurity, iar asta se face printr-un layer de security analytics care să rezolve problemele fundamentale. Marea majoritate a echipelor de cybersecurity pierd timp azi încercând să înţeleagă ce e cu acele alerte, unde sunt acele alerte şi ce se întâmplă acolo. Folosind soluţia noastră de XDR, atât persoanele aflate la început de carieră în domeniu, cât şi cei cu experienţă pot face lucrurile mai uşor, pentru că noi încercăm să oferim un rezumat, informaţii care permit analiştilor să se uite la incident şi să înţeleagă exact ce au de făcut. Am construit toată tehnologia XDR aproape de la zero şi am avut şapte echipe dedicate.
Ion Georgescu, Country Manager România şi Moldova, Bitdefender
► Este impetuos necesar să revizuim strategia de securitate care se duce în zona de prevenţie şi detecţie şi zona de rezilienţă cibernetică care se uită la cum putem atenua acele daune în urma unui atac. Ştim că atacurile sunt din ce în ce mai persistente, vor continua, vom încerca să ne uităm la diferite layere de securitate, să actualizăm.
Cristian Herghelegiu, CEO Dendrio, VP Technology - Bittnet Group
► Un prim pas foarte important este crearea unei echipe înainte de a fi atacat, echipă care să ştie să intervină în caz de nevoie, adică să aibă instrumente, să aibă acces la informaţiile necesare. Este ideal ca în planul de risk management să ai un partener la care poţi să suni.
Sergiu Zaharia, Director Cyber Strategy Advisory, Deloitte Consulting
► Nu există protecţie 100% împotriva unor atacuri de tip ransomware. Dacă te uiţi la nivelul de maturitate cu valori de la 1 la 5 - la nivel internaţional, vedem că firmele cu cea mai matură implementare de cybersecurity sunt la nivelul 3-4, deci mai rămân şanse pentru atacatori să intre în reţeaua lor şi să le compromită activitatea. Atunci când te gândeşti la măsuri, trebuie să te gândeşti la impactul pe care îl poate avea un atac de tip ransomware în compania ta. Astfel, trebuie să aplici măsurile tradiţionale, spre exemplu, colectezi datele cât mai puţin. Dar tu nu poţi face asta dacă tu împarţi datele peste tot, iar atunci trebuie să te pregăteşti pentru o criză de cybersecurity.
Vladimir Ghiţă, Managing Partner, Managing Partner, Global Resolution Experts (GRX)
► E important să realizăm o izolare a infrastructurii pentru ca echipamentele din ecosistemul pe care îl avem să nu aibă de suferit. Trebuie să restaurăm serviciile IT cât se poate de repede, trebuie să alertăm autorităţile cât mai repede, astfel încât să ştie că s-a produs un incident cibernetic, şi trebuie să curăţăm reţeaua şi să identificăm acele echipamente care sunt cu probleme.
Bogdan Botezatu, director de cercetare în ameninţări informatice, Bitdefender
► Atacurile ransomware sunt chestii orchestrare. Grupările moderne de ransomware petrec puţin timp să descopere informaţii despre companie. Ei întotdeauna vor cere sumele de bani acoperite de cyberinsurance. Astfel au cele mai mari şanse să primească banii solicitaţi.
Yugo Neumorni, Chief Digital Officer, Cluster Power
► De ce este acest haos? De ce vorbim de cyber security? Pentru că toată producţia de software şi hardware are defecte. Dacă o maşină trebuie să respecte nişte standarde, aşa trebuie să respecte şi software-ul. Responsabilitatea producătorilor de software în această zonă de cybersecurity nu există.
► Atacurile cibernetice au fost mereu multe, în număr mare, dar în contextul actual s-au îmbunătăţit capabilităţile atacurilor şi awareness-ul utilizatorilor. Securitatea e un test continuu, iar abordarea trebuie să fie continuă şi holistică.
Adrian Badea, CyberSecurity Development Manager, S&T
► Este clar că gradul de digitalizare a crescut, iar securitatea cibernetică a devenit o necesitate, este prezentă peste tot. Este nevoie de securitate cibernetică, în raportul de anul acesta al riscurilor globale publicat World Economic Forum, riscul cibernetic era situat pe locul al treilea, după problemele climatice şi de sănătate. Astfel, este clară utilitatea pe care o are.
Magda Popescu, Outside Legal Counsel, Microsoft Digital Crimes Unit (DCU), Europe Middle East & Africa
► Planul de continuitate trebuie să existe. Partea aceasta trebuie să se uite la backup. Această decizie nu este una a băiatului de la IT, ci o decizie a managementului. Cred că un manager în secolul XXI nu poate să ignore acest lucru. Este ca şi cum ai ignora că ai nevoie de mese şi de scaune ca să lucrezi. Este fundamental ca să poţi să îţi realizezi activitatea.
► Zona de cleanup, de foarte multe ori şi din cazurile practice pe care le-am văzut la Microsoft în diverse investigaţii, atacatorii stau mult timp acolo. Există un întreg ecosistem, access broker, ransom operator, affiliate, care se ocupă de deployment şi de atac. Access brokerul rămâne acolo dacă nu faci cleanup.
Victor Gânsac, CEO, SafeTech Innovations
► Oricâte măsuri de securitate sunt implementate într-o companie, riscul de a fi atacat cibernetic nu dispare niciodată, doar dacă scoatem din priză sistemul informatic. Deci trebuie să implementăm strategic măsurile şi procesele de securitate şi trebuie să fie un proces continuu. Astfel, vom reuşi să reducem nivelul de risc, iar dacă se va întâmpla un eveniment nefericit, organizaţia va putea face faţă. Din perspectiva atacurilor de tip ransomware, backupul este cea mai mare valoare a companiei şi jucătorii trebuie să exerseze recuperarea datelor din backup. Să îşi pună întrebarea: ce fac dacă se va întâmpla? Noi facem conştientizare şi la nivel de top management. CEO-ul trebuie să îşi pună astfel de întrebări: ce se întâmplă dacă mâine nu mai pot livra servicii clienţilor?