ZF Tech Day. Eugen Rusen, security cloud solution architects lead, Europa Centrală şi de Est, Microsoft: Securitatea cibernetică nu este încă o prioritate pentru companiile din România, deşi atacurile cresc ca număr şi complexitate

Autor: Alexandra Cepăreanu 30.09.2022

„Atacurile de tip ransomware au ajuns la 47% ca pondere a atacurilor cibernetice în România, înregistrând o creştere semnificativă faţă de ţările din zonă: Grecia 39%, Ungaria 35% sau Polonia 28%.“

Securitatea cibernetică nu este încă o prioritate pentru compa­niile şi organizaţiile din Româ­nia, arată un raport al gigantului american Microsoft, document care arată că doar 39,5% din respondenţi au o strategie completă de creştere şi dez­voltare ce implică şi securitatea ciberne­tică, a spus în cadrul emisiunii ZF Tech Day Eugen Rusen, security cloud solution architects lead pentru Europa Centrală şi de Est în cadrul Microsoft.

„Dacă ne uităm la contextul de secu­ritate, devine din ce în ce mai complex. Şi vedem cele mai multe atacuri în zona aceasta de ransomware, ransomware as a service. Practic că aceste tipuri de atacuri au crescut undeva la 150% anul trecut. Bă­nuim încă şi mai mult în acest an. Practic, partea de ransomware a ajuns undeva la 47%, ca pondere a atacurilor în România, înregistrând o creştere semnificativă faţă de ţările din zonă. Şi vedem, spre exemplu, în Grecia 39%, Ungaria 35%, Polonia 28%, iar noi 47%. Asta înseamnă că este practic o piaţă în continuă dezvoltare din punct de vedere atât al acestor tipuri de atac cât şi al awarenessului (conştientizării) pe care vendorii de securitate îl aduc“, a spus Eugen Rusen.

El a adăugat că ransomware-ul este ti­pul de atac dominant pe piaţă şi din prisma costului mic al toolurilor (instrumentelor) folosite, dar şi al vectorilor de atac.

„Costurile toolurilor de atac scad semnificativ de la an la an. Asta înseamnă că astfel de servicii pot fi accesate din dark web ca un serviciu utilizat la minut, la oră şi aşa mai departe. Deci aceste tooluri devin din ce în ce mai complexe, din ce în ce mai sofisticate şi accesibile. În acelaşi timp vorbim şi de nation states attacks - ne arată cât de atacată este o anumită piaţă sau anumite industrii dintr-o piaţă - care au parte de tooluri care au un cost foarte mare şi, de cele mai multe ori, sunt spon­sorizate de guverne.“

Raportul Microsoft mai arată că circa 46,5% dintre companiile din România sunt interesate să se protejeze împotriva atacu­rilor de tip malware în următoarele şase - opt luni. „Circa 42% dintre companii mi­zează pe protecţia în mediul lucrului de la dis­tanţă, iar noi prioritizăm zona aceasta care devine din ce în ce mai mai domi­nan­tă. Şi mizăm foarte mult pe acest aware­ness. Ve­dem că pregătirea suplimentară a angajaţi­lor este vizată undeva la 57% din companii şi creşterea tehnologiilor undeva la 30%, ca măsuri imediate, deci în urmă­toarele şase - opt luni“, a mai spus repre­zentantul Microsoft.

De asemenea, pe partea de conştien­tizare, Microsoft organizează traininguri şi cu profesorii din aproximativ 200 de licee, la nivel naţional, pe zona de securitate cibernetică.

„Focusul nostru este şi în zona de educaţie. Avem circa 200 de licee pe care vrem să le trainuim, exact pe zona aceasta de cyber şi cât de important este să o inte­grăm cât mai devreme în zona de learning. Şi dacă vă uitaţi în toată zona de securitate a Microsoft, întreaga zonă de learning este absolut gratuită. Se plătesc doar certifică­rile“, a menţionat Eugen Rusen.

În continuare, Microsoft are ca obiecti­ve să crească nivelul de conştientizare a nevoii de securitate cibernetică atât în rân­dul companiilor, cât şi în rândul instituţiilor publice, şi susţine parteneriatele locale, public-privat şi private, pentru conştienti­zare şi pentru dezvoltarea capabilităţilor în zona de cybersecurity.

„Cum facem această conştientizare? Cu foarte multe traininguri publice gratui­te, pornind de la zona de educaţie, ducân­du-ne către zona guvernamentală, apoi către zona publică şi către aceste certificări în zona de securitate pentru specialişti care vor să se dezvolte în domeniu. Mai departe susţinem toată zona de parteneriate pentru dezvoltarea capabilităţilor în zona de cyber. Şi vedem cât de mare succes avem în România din punctul de vedere al noii generaţii care vine din spate. Câte premii câştigăm. Câtă capacitate intelectuală avem. Investiţiile Microsoft în zona de securitate sunt masive. Avem 20 de miliarde de dolari în următorii cinci ani. Un focus foarte mare este în zona de cercetare - research and development - mai ales în zona de cyber, iar în România avem un centru de R&D pe care îl dezvoltăm în continuare.“

 

Ce a mai spus Eugen Rusen în cadrul emisiunii

Raportul Microsoft Digital Defense Report a fost lansat în octombrie 2021 şi conţine foarte multe informaţii utile atât pentru companiile din România cât şi pentru cele din întreaga lume. Practic, nation states attacks ne arată cât de atacată este o anumită piaţă sau anumite industrii şi o să vedem că, pe lângă guverne, sunt foarte multe industrii interesante. Spre exemplu, dacă ne uităm în Orientul Mijlociu industria de telecom este foarte atacată, la noi în această regiune zona ONG-uri. În România în speţă am văzut foarte multe site-uri ale instituţiilor publice atacate în ultima vreme.

Care este diferenţa între o parolă şi un PIN? Multă lume ar putea zice că nu ştiu sau nu contează. Şi este un fapt îngrijorător pentru că cea mai slabă verigă în securitate este omul şi parola asociată omului, mai ales când este folosită în mai multe aplicaţii. De cele mai multe ori aceeaşi parolă scurtă modificată sau conţinând numele aplicaţiei sau numele site-ului devine practic un vector de atac lateral pe toate aplicaţiile la care avem acces. Pinul este ceva care ţine de dispozitivul pe care funcţionează. Da avem un telefon, pe acest telefon avem un PIN asociat, pe laptopul pe care prezintă acum am un alt pin asociat. Asta înseamnă că chiar dacă aş avea PIN asemănător sau chiar şi identic compromiterea unui PIN ţine doar de acel device. Noi compromitem un device şi nu un utilizator. Şi de asta îmbunătăţim continuu aceste laptopuri şi securitatea internă deşi partea hardware a componentelor laptopurilor, dispozitivelor mobile şi aşa mai departe. ăsta e un prim pas. Şi pornim de la ce numim securitate de bază - securitatea individului, identităţii iar apoi despre dispozitivele cu care accesăm aplicaţiile de care avem nevoie şi asta numim noi securitate de bază.

A doua întrebare a fost „Bine avem această securitate pusă în zona de dispozitive, dar cum folosim oare şi înţelegem care este beneficiul clar al multifactor authentication. Suntem confortabil cu acest lucru?“ Pentru că vedem în piaţă foarte multe breşe de securitate duse doar pentru că un administrator care are acces la întreaga reţea sau întreaga infrastructură, nu şi-a activat acest serviciu. La noi, în toate tool-urile Microsoft spre exemplu avem acest MFA obligatoriu pentru orice persoană care are credenţiale de admin. Fiind partener, fiind client şi aşa mai departe, angajaţi Microsoft toţi avem obligatoriu acest MFA activ.

Zero trust - Este o metodă de abordare a securităţii moderne, dar pe scurt porneşte de la trei principii mari - primul de aici poate şi numele de zero trust „never trust, always verify“ adică să nu considerăm că un utilizator din reţeaua noastră este implicit de încredere, să îl autorizăm sau îl autentificăm întotdeauna în momentul accesării unei aplicaţii, continuu. Microsoft chiar a mers mai departe să facem această autorizare în Real Time şi avem un patent în această zonă în zona de condition axis - continuous evaluation. Deci acesta este un prim concept, întotdeauna să verificăm că persoana sau serviciul care încearcă să acceseze o aplicaţie sau un serviciu este de încredere şi asta se poate face în mai mulţi paşi. De cele mai multe ori la o primă autentificare folosim acel MFA şi apoi dacă nu se schimbă nimic din caracteristicile acelui user spre exemplu care accesează nu mai cerem nimic.

Acum al doilea este least privilege access. Ce înseamnă least privilege access înseamnă că ne uităm întotdeauna la acumularea de privilegii. Da eu lucrez acum în Microsoft, mă ocup de echipa de arhitecţi de securitate. În două luni mă mut în alt departament dar rămân cu accesele pe care le am pe acest rol în Microsoft. Şi am un rol critic într-o echipă de securitate. Să zicem că în două săptămâni iau un rol de CFO pe România şi am acces la toate datele financiare ale companiei. Apoi mă duc HR Manager pe Microsoft Germania. Acumularea acestor 3 privilegii şi compromiterea contului meu în acelaşi timp va permite unui atacator să aibă acces la date financiare, date de securitate şi date de acces din trei regiuni diferite ale Microsoft. Gândiţi-vă cât de cât de mare este acest impact. Şi de asta trebuie să minimizăm accesul întotdeauna. Atât cât avem nevoie. Spre exemplu eu nu am niciodată acces la toate datele financiare, doar cât am nevoie. Am nevoie de date despre HR, doar în România asociate mie sau echipei mele. Asta înseamnă Least Privilege access. Al treilea concept ne duce către zona asta pe care noi am introdus o acum câţiva ani - assum bridge -, de asta am dat şi numele evenimentului de Proactiv Security. Trebuie să fim tot timpul proactivi dacă ne gândim că întotdeauna vom avea un atac, şi ne uităm, sunt statistici, sunt undeva la 35.000 de atacuri pe minut atacuri asupra parolelor, asupra device-urilor IoT de acasă - 1.900 de atacuri pe minut, atacuri de tip phishing sunt şapte atacuri pe minut. Gândiţi-vă că întotdeauna un utilizator o aplicaţie este sub atac continuu. Iar dacă înţelegem asta şi suntem în zona de confort cu acest lucru, întotdeauna suntem pregătiţi. Iar dacă dispozitivul meu dispare - l-am uitat în taxi - prima dată raportez organizaţiei că l-am pierdut. Mi se taie accesul. Iar la decizia echipei de securitate se poate şterge de la distanţă întregul profil de muncă. Profilul de muncă este separat de profilul personal. Eu dacă îl găsesc, după o lună, pozele mele personale nu dispar.

Soluţii pe care Microsoft le oferă împreună cu partenerii în zona de securitate cibernetică

Microsoft este o platformă de securitate. Noi nu oferim servicii de securitate direct, altfel decât prin ceea ce noi numim MCS - Microsoft consulting services. Deci putem include aceste servicii dar prioritizăm ca partenerii noştrii să vină cu servicii adăugate. Înseamnă de cele mai multe ori many security services. Din acest framework de zero trust avem parteneri locali, avem parteneri regionali, şi avem clienţi de până în 50 de angajaţi, clienţi de până în 300 de angajaţi şi cu peste 1.000 de angajaţi. Avem diferite soluţii peste care facem services şi am fost plăcut surprins de evoluţia în Europa Centrală şi de Est a acestor servicii.

Noi avem o soluţie numită practic zona de business premium, până în 300 de angajaţi oferim un pachet standard de care clientul îl poate implementa singur, dar atât distribuitorii locali de securitate cât şi partenerii au inclus foarte mult un management centralizat şi aici intervine partenerul. Mulţi dintre parteneri au dat nişte nume foarte interesante pachetului Peace of Mind, clientul e împăcat, ştie că are management centralizat, securitatea dispozitivelor, securitate utilizatorilor şi aşa mai departe. Iar plata se face recurent, lunar, cu un cost al licenţei şi cu un cost asociat acelui serviciu. Şi oricând acel serviciu se poate opri sau se poate renunţa la licenţă. E foarte încurajator ce vedem aceste zone zone mici. Şi aceste pachete sunt complete, nu doar din prisma securităţii ci şi din prisma productivităţii.

Aţi văzut ce înseamnă productivitate, de exemplu, asociată cu Teams. Cum facem toată zona aceasta de offices email security şi aşa mai departe. Totul e inclus în acelaşi pachet. Vorbim aici de zona de Server Message Block (SMB), şi aici avem cererea cea mai mare în acest moment în România. Am început cu conştientizarea. Acum clienţii au văzut cu adevărat nevoia. De cele mai multe ori prin prisma durerii din timpul pandemiei, când au avut nevoie de security mode work. Acum au găsit un partener de încredere. Noi încurajăm să lucreze direct cu un partener. Vedem şi cazuri în care un partener de licenţiere lucrează cu un partener care oferă acel serviciu de many security service. E un lucru foarte interesant pentru că acum vedem transformarea ecosistemului Microsoft de la competiţie colaborare, muncă împreună. Şi toţi suntem profitabili şi toţi înţelegem nevoia clientului înaintea nevoii noastre de profitabilitate şi putem scala cu aceste soluţii. Nu doar în România, nu doar în Polonia, ci la nivel regional. E doar software şi e strict vorba de încredere şi de cum relaţionăm cu clientul, iar noi sprijinim tot acest ecosistem.

Al treilea exemplu pe care aş vrea să îl dau este ceea ce piaţa poate vedea ca pe o competiţie. De multe ori un partener ar putea fi considerat competitiv în România. Poate cel mai bun exemplu este Bitdefender. Bitdefender este un client super mare pentru noi, este un partener foarte interesant nu doar din prisma colaborării în zona de securitate pe care suntem şi competitivi, dar colaborăm înainte de toate şi vedem super multe soluţii care se leagă între ele şi avem parteneri care pur şi simplu leagă din Microsoft, din Bitdefender, dintr-un Cisco şi vin la pachet cu toate aceste soluţii, iar noi încurajăm şi sprijinim tot acest ecosistem. Avem un ecosistem care este vizibil public, se numeşte Microsoft Intelligent Security Association.

Threat hunting ne permite să identificăm atacatorul, să mergem cât mai aproape de el, să-l urmărim şi pe cale legală şi să venim cu tot pachetul. Vă sugerăm să vedeţi raportul dedicat Microsoft către războiul din Ucraina şi către atacul recent asupra guvernului din Albania. Aceste atacuri pot fi mapate foarte bine prin acest Threat hunting care se face strict tehnic, se mapează către o organizaţie guvernamentală. Deci sunt foarte multe date interesante.

Aş încheia prin a spune despre colaborarea Microsoft cu instituţiile din România. Ceea ce noi numim cyber signals, toate aceste trilioane de semnale pe care noi le aducem zilnic către clienţii noştrii, pentru instituţiile guvernamentale cu care noi avem semnate parteneriate, le oferim în mod gratuit. Un exemplu din zona echipei noastre de digital crime unit, unde avem chiar şi persoane din România, avem peste 20.000 de notificări oficiale către guverne asupra atacurilor de tip nation state attacks din partea Microsoft, oferite în mod gratuit. Asta facem în zona de guverne. Vă daţi seama ce fac partenerii noştri mai departe către zona de clienţi publici.