ZF Tech Day. Andrei Avădănei, CEO, Bit Sentinel: În continuare simţim o dificultate în a vinde şi promova serviciile de securitate cibernetică. Obiectivul companiilor nu este prevenţia şi asigurarea unui mediu protejat, ci bifarea cerinţelor şi standardelor impuse

♦ „Încet-încet vedem totuşi mai multe companii care sunt predispuse să investească în zona de securitate cibernetică cu bugete semnificativ mai bune, iar investiţiile devin mai coerente“ ♦ „În industria de cybersecurity este ca în medicină. Oamenii se duc la doctor când apar simptome, nu pentru prevenţie“. 

Companiile încă nu au „învăţat“ să îşi protejeze proactiv reţelele şi infrastructura cibernetică şi apelează la jucătorii care oferă şi dezvoltă sisteme şi soluţii de cybersecurity abia după ce au avut un incident în zona de securitate cibernetică, a spus în cadrul emisiunii ZF Tech Day Andrei Avădănei, CEO al companiei de cybersecurity Bit Sentinel. El estimează că acest trend se va menţine, din păcate, şi pe parcursul anului 2024.

„În continuare simţim o o dificultate în a vinde şi a promova serviciile pe care le oferim noi şi asta este datorită faptului că nu au un return of investment evident pentru fiecare companie. Unele companii sunt dispuse sau reprezentanţii acestora sunt dispuşi să-şi asume nişte riscuri mai mari sau mai mici şi implicit şi măsurile pe care le iau în spaţiul de cybersecurity poate nu sunt la nivelul la care ar trebui, adică se încearcă tot timpul o identificare a unei scurtături, să spunem. Adică obiectivul este orientat spre acest target de a bifa cerinţele şi standardele impuse, şi nu neapărat spre cum se pot proteja mai bine. Şi provocarea aceasta mă aştept să rămână în continuare“, a explicat Andrei Avădănei.

El a comparat acest comportament cu cel al oamenilor care se duc la medic atunci când au deja anumite probleme.

„Este exact ca mersul la medic, cel puţin ca şi cultură locală. Ne ducem la medic proactiv? Nu. De obicei ajungem la doctor atunci când ne simţim rău, când lucrurile nu mai arată aşa cum ar trebui să fie sau când avem anumite simptome. Cam aşa e şi în zona de cybersecurity. Foarte rar sau foarte greu este să transmiţi mesajul sau să creezi o cultură de proactivitate, să iei măsurile proactiv. La noi când vin companii care au trecut printr-un atac de cybersecurity este deja un caz «de operaţie».“

De asemenea, un criteriu principal care stă la baza deciziei de a implementa anumite standarde sau soluţii de securitate cibernetică într-o companie este reprezentat de cost.

„Singurul criteriu de acceptare a unui proiect de securitate cibernetică este criteriul financiar şi întotdeauna se caută preţul cel mai mic în defavoarea unei activităţi sau serviciu de calitate, care în final se transpune într-o infrastructură mai rezistentă, mai rezilientă la atacuri şi mai matură. Dacă cineva care are experienţă îţi evaluează compania, identifică atacuri, identifică vulnerabilităţile, aşa cum ar face şi un atacator, poate chiar mai bine uneori, pentru că noi ne uităm şi la «mărunţiş», cum s-ar spune - încercăm să găsim orice chichiţă în timpul alocat. Atacatorii n-au timpul ăsta şi vor scana la grămadă, deci practic vor adresa un spectru larg, în general toate IP-urile din România, spre exemplu, şi acolo unde au norocul să pătrundă se duc până la capăt şi compromit infrastructura respectivă. Asta e una dintre provocări dar şi aici cred că este un aspect ce ţine de cultura noastră şi de educaţie. Încet-încet vedem totuşi mai multe companii care sunt predispuse să investească în zona de securitate cibernetică cu bugete semnificativ mai bune, iar investiţiile devin mai coerente“, a mai punctat Andrei Avădănei.

Andrei Avădănei, CEO, Bit Sentinel: Vrem să fim aproape de companii şi să punem bazele unor măsuri de securitate sănătoase pentru ca atunci când are loc un incident, impactul să fie mic. Pentru că în final, trebuie să recunoaştem, incidentele se vor întâmpla. Discuţia rămâne doar despre impactul pe care îl aduc în organizaţie.

Compania de securitate cibernetică a dezvoltat o platformă dedicată organizaţiilor, prin care experţii în cybersecurity din cadrul Bit Sentinel simulează atacuri de tip phishing sau ransomware – două dintre cele mai răspândite tipuri de atacuri.

„Platforma se numeşte PhishEnterprise şi practic noi încercăm să simulăm un atac de tip phishing, un atac de ransomware. Există, de exemplu, mai nou, atacuri în care sunt implicate coduri QR, ş.a.m.d. În paralel, divizia care se ocupă de teste de securitate, de penetration testing, audit de cod sursă ş.a.m.d. a funcţionat foarte bine. Companii din zona de energie, transport, telco, sănătate au căutat genul acesta de servicii din cadrul companiei noastre.“

În acest context, unul dintre obiectivele companiei Bit Sentinel pentru anul 2024 vizează zona educaţională şi încercarea de a face cât mai mulţi antreprenori şi reprezentanţi de business să fie conştienţi de pericolele din mediul digital şi de valoarea pe care o poate aduce investiţia în securitatea cibernetică.

„Noi dorim o dezvoltare mai bună pe zona aceasta educaţională. Şi aici mă refer în special la platforma de simulări de phishing, pentru că răspunde la multe provocări şi probleme pe de o parte, şi în acelaşi timp ajută companiile să se alinieze la anumite standarde. Aici vorbim de platforma PhishEnterprise. Dar în acelaşi timp vrem să investim tot mai mult în partea de răspuns la incidente de securitate cibernetică. Deja avem o echipă certificată, care practic e responsabilă de monitorizare şi răspuns la incidente de securitate cibernetică. Şi vrem să fim mai aproape de companii cu această echipă pentru că ne-am dori să fim acolo când e linişte şi nu s-a întâmplat nimic, să punem bazele unor măsuri de securitate sănătoase, să pregătim terenul pentru orice fel de incident şi atunci când are loc un incident, impactul să fie mic, pentru că în final, trebuie să recunoaştem, incidentele se vor întâmpla. Discuţia rămâne doar despre impactul pe care îl aduc în organizaţie“, a punctat Andrei Avădănei.

În ceea ce priveşte activitatea Bit Sentinel în 2023, CEO-ul companiei a spus că anul a fost bun, echipa a crescut, iar proiectele au devenit din ce în ce mai diversificate şi mai complexe.

„2023, cel puţin pentru Bit Sentinel, s-a văzut ca un an bun. Am crescut şi echipa, ne apropiem de aproape 40 de persoane, dar în acelaşi timp am interacţionat cu companii şi cu proiecte din ce în ce mai diversificate şi mai complexe. Nu de puţine ori am interacţionat cu companii ce au fost implicate în procese de maturizare vizavi de măsurile de securitate cibernetică, vorbim aici de directiva NIS, spre exemplu, în care există un set de măsuri tehnice specifice pe care fiecare companie trebuie să le ia - una dintre ele este chiar realizare a unui test de penetrare, un audit de securitate IT, dar trebuie să vizeze şi restul de infrastructură aflată în ecosistemul lor şi nu în ultimul rând oamenii - care de ce multe ori sunt veriga cea mai slabă. Şi asta a fost o zonă care s-a dezvoltat foarte bine, în special datorită normelor şi directivelor europene şi mă aştept ca şi în 2024 să vedem un trend similar, mai ales că urmează şi directva NIS 2, urmează DORA - o altă directivă europeană ce va impune o serie de măsuri tehnice şi organizatorice -, iar aceste standarde în general reuşesc să împingă şi să dezvolte şi piaţa de cybersecurity într-un mod coerent.“

 

AI integrat în instrumentele de securitate cibernetică

Andrei Avădănei consideră că inteligenţa artificială (AI) este un ajutor pentru echipele care se ocupă de securitatea cibernetică, pentru că poate ajuta specialiştii să îmbunătăţească anumite procese, însă, AI-ul poate fi folosit în aceeaşi măsură şi de atacatori.

„Eu văd AI-ul din două perspective: pentru noi este un atuu, în sensul în care e ca o unealtă pe care o punem în pachetul de unelte pe care deja îl foloseam şi ne îmbunătăţeşte nişte procese. Spre exemplu, poate vrei sau doreşti să dezvolţi o tehnică mai avansată pe o anumită vulnerabilitate şi nu stăpâneşti anumite lucruri foarte bine, el te poate asista să dezvolţi acea vulnerabilitate extrem de bine. Dar în acelaşi timp, şi actorii maliţioşi au aceleaşi beneficii, în sensul în care pot dezvolta mesaje pentru campanii de phishing mai bune. Şi au fost câteva cazuri în care s-a demonstrat că poţi crea malware cu Chat GPT. Evident, nu e cel mai strălucit, dar poate pune bazele unei astfel de aplicaţii maliţioase. De asemenea, pe zona de apărare iar are un mare avantaj, pentru că poate ajuta la trierea vulnerabilităţilor mai rapide. Asta a fost dintotdeauna o provocare mare în organizaţiile cum suntem şi noi, pentru că interacţionăm constant cu un volum foarte mare de incidente şi alerte. De foarte multe ori majoritatea sunt doar nişte alerte fals pozitiv, cum le spunem noi, şi practic au fost ridicate, dar nu s-a dovedit a fi un atac în spate. Însă acestea erodează răbdarea analiştilor care se uită la astfel de ameninţări. Şi Chat GPT, dar în general alte soluţii similare, pentru că Chat GPT are şi nişte probleme de protecţie a datelor personale, pot asista o companie să devină mai eficientă în acest sens“, a explicat Andrei Avădănei.

 

Riscurile din spatele e-Factura

Sistemul RO e-Factura a devenit funcţional începând de la 1 ianuarie 2024, moment în companiile sunt obligate să încarce facturile digitale în SPV, însă momentan nu există vreo consecinţă dacă nu o fac. Începând cu 1 aprilie, Agenţia Naţională de Administrare Fiscală (ANAF) va începe să dea avertismente şi companiile vor avea la dispoziţie cinci zile calendaristice să încarce facturile pe serverele ANAF, iar de la 1 iulie ar trebui ca toate facturile business to business din România să fie emise în format electronic, în caz contrar contribuabilii riscă amenzi. Însă, acest lucru vine cu riscuri pentru companii.

„Deja ne-am gândit la câţiva vectori noi de atac ce sunt corelaţi cu e-Factura şi cu modul în care interacţionăm cu e-Factura. Chiar de curând, apropo de platforma de simulări de Phishing, am început să ne gândim cum să simulăm atacuri de phising care implică şi această platformă. Sunt scenarii prin care poţi să dai impresia că mesajul sau site-ul pe care-l accesezi este cel al ANAF-ului şi implicit poţi să transmiţi tot felul de mesaje. Spre exemplu, ai putea să modifici datele unor facturi legitime, datele bancare, să zicem, care sunt identice şi modifici IBAN-ul companiei către care se duc bani sau IBAN-ul şi numele companiei. De cele mai multe ori, dacă procesul acesta nu este verificat cu mare atenţie, e posibil să afecteze nişte plăţi. Acesta e un caz concret, dar dacă ne ducem mai departe, apar riscurile de a interacţiona mai mult cu partea digitală. Noi deja suntem obişnuiţi de câţiva ani cu lucru la distanţă, chiar şi cu tehnologii noi care ne-au uşurat viaţa în acest sens. Dar genul acela de companii care adresează doar spaţiul non-IT vor fi afectate categoric, pentru că niciodată n-au lucrat cu un calculator. Sau dacă au lucrat, au lucrat la nivel de entertainment, spre exemplu, accesarea de reţele sociale, în general şi poate canale de streaming.“

Astfel, antreprenorii şi reprezentanţii companiilor trebuie să fie atenţi şi să conştientizeze riscurile la care sunt supuse firmele pe care le conduc.

„În primul rând ar trebui un wareness cu privire la cum să protejez semnătura electronică respectivă, pentru că până la urmă este echivalentul identităţii noastre în spaţiu digital. Mai există riscurile care vin ca şi consecinţă a interacţiunii. Pentru că dintr-o dată trebuie să interacţionezi cu ANAF-ul, poate trebuie să faci extra verificări în procesul de calificare al facturilor, ceea ce implică un ping-pong cu alte departamente din companie. Toate aceste lucruri introduc fricţiuni şi introduc riscuri, pentru că un atacator se poate introduce în oricare dintre aceste faze şi cel mai probabil o să vedem şi atacuri de genul acesta. Dezavantajul lor sau complexitatea este dată din faptul că atacatorii ar trebui să aibă cunoştinţe intime despre cum funcţionează sistemul românesc e-Factura. Şi mă aştept să mai dureze puţin până când o să avem astfel de evenimente, dar sigur vor fi“, a spus Andrei Avădănei.

 

Dinamica atacurilor cibernetice în 2023

Cel puţin la nivel local şi regional, în 2023, au fost vizibile atacurile de tip DDoS (denial of service) şi cele de tip ransomware. Cele de tip DDoS au avut ca origine spaţiu sovietic, ex-sovietic în general şi asta înseamnă Rusia predominant şi ţările din zonă, şi au vizat de obicei instituţii publice, deci practic au fost mai mult spectaculoase, pentru că de obicei atacurile de genul acesta nu durau foarte mult, erau de ordinul minutelor, dar ulterior atacului, toate, să zicem organizaţiile acestea care le-au iniţiat se lăudau peste tot că au pus la pământ site-ul Ministerului Educaţiei sau un alt site de profil relevant. Deci asta a fost o categorie.

Atacurile de tip ransomware a avut o creştere foarte mare în 2023. Foarte multe companii şi nu neapărat firme foarte mari, dar şi unele extrem de vizibile au fost ţinta unor astfel de atacuri. Deci aş zice că aceste două categorii au setat piaţa în 2023 şi cam cu aceste situaţii ne-am confruntat. Nu există un profil de companie. În general există un tipar de greşeală în toate aceste atacuri. Spre exemplu, aveam o soluţie de tip remote de stock acces, să zicem, în reţeaua internă, niciodată expusă pe internet, dar vulnerabilă. Şi weekend-ul acesta ar trebui să fac o instalare de sistem. Am expus-o pe internet, iar până luni şi infrastructura era compromisă, inclusiv backup-ul, ş.a.m.d. Genul acesta de tipar îl vedem constant în incidentele de genul atacurilor de ransomware şi practic greşeli umane prin fie expunerea unui serviciu, fie prin uitarea actualizării unui serviciu, lucruri care printr-o simplă igienă pot fi remediate.

Frecvenţa atacurilor a crescut categoric în 2023, complexitatea aş spune că e similară, în sensul în care atacurile de ransomware au acelaşi tipar, în sensul în care îţi criptează datele, îţi cer o răscumpărare ulterioară. În schimb, au apărut atacurile de ransomware care sunt în mai mulţi paşi. Spre exemplu, odată te şantajează pentru a-ţi recupera datele, după aceea te mai şantajează o dată pentru a nu publica datele pe internet sau a nu anunţa că vor publica datele pe internet sau că ai fost victima ş.a.m.d. Deci încearcă să te stoarcă de bani prin mai multe metode astfel încât să-şi maximizeze rezultatele. Deci din punct de vedere tehnic nu s-a schimbat. Într-adevăr, există nişte complexităţi în spate, există tehnici de evitare a soluţiilor de protecţie, cum ar fi anti-virusul dar acesta este un trend comun, să zicem. Adică tot timpul între specialişti pe cybersecurity şi organizaţii-le care se ocupă cu astfel de activităţi există un joc de-a „şoarecele şi pisica“. Ei mai fac ceva, noi mai dezvoltăm ceva şi răspundem la ultimele lor tehnici. Atacul de la Camera Deputaţilor în care au fost furate datele unor demnitari, inclusiv ale premierului Marcel Ciolacu, nu a fost un atac complex. Nu este un atac cu impact devastator cu privire la datele obţinute. Există nişte persoane – victime, afectate, care şi-au pierdut datele, vorbim aici de prim-ministrul ţării care este o persoană reprezentativă pentru România. Iar genul acesta de lucruri pot şi au creat o serie de reacţii în presă şi în mediul privat şi cred că doar din acest motiv este un eveniment mare. Au fost situaţii şi incidente de securitate care nici măcar nu au ieşit la suprafaţă în presă, din organizaţii care au o doză de risc semnificativ la adresa securităţii naţionale sau la adresa datelor pe car ele deţin acele organizaţii. Şi atunci nu s-a vorbit nimic.

Există două tip de atacuri, cele de ransomware, care au şi un impact vizibil. Spre exemplu, poate nişte sisteme devin indisponibile. În cazul Rompetrol, atunci când nu mai poţi să ascunzi sau nu mai poţi să controlez evenimentul, e foarte uşor să spui că „da, uite, a fost un atac de ransomware“, impactul e semnificativ, sunt nişte pierderi semnificative în spate, dar în momentul în care atacuri acestea au alte obiective strategice, poate pe termen lung ş.a.m.d. este destul de dificil să mai măsori care este rata de succes sau care este impactul în societate a ale acestor atacuri. Dar da, am văzut mai multe ransomware şi am încercat să ajutăm mai multe companii în zona asta.

Din păcate, de obicei când ajung la noi strict pe cazuri din aceasta este aproape imposibil să mai facem ceva ca să recuperăm noi datele. Deci e spre imposibil, pentru că şi atacatorii şi-au rafinat tehnicile astfel încât din punct de vedere operaţional noi să nu putem recupera acele date fără un backup. De aceea încurajăm tot timpul să se facă backup regulat, constant, în surse şi în zone în care restul infrastructurii nu este conectată, pentru că au fost şi situaţii când companiile respectau procedura, aveau backup, doar că backup-ul era legat la aceeaşi infrastructură cu reţeaua internă şi implicit în momentul în care au compromis infrastructura de bază şi backup-urile sau dus.

 

Evoluţia platformei CyberEDU.ro

Produsul s-a dezvoltat foarte mult în 2023. Avem capabilităţi noi. Spre exemplu, acum putem să simulăm orice fel de atac tradiţional sau orice fel de interacţiune într-un mediu simulat, cum ar fi o infrastructură obişnuită dintr-o organizaţie, astfel încât să pregătim o generaţie nouă de specialişti în zona de cybersecurity cu privire la comportamentul pe care ar trebui să-l aibă în momentul în care va avea loc un astfel de incident. Pentru că una dintre provocările mari este chiar aceasta - cum te antrenezi ca să ştii cum să răspunzi la un astfel de incident? Dar hands-on, pentru că vorbim de politici, vorbim de proceduri, vorbim de interacţiunea cu presa, vorbim de interacţiunea cu autorităţile, dar efectiv cum îl scoţi pe „gândac“ din casă e o altă discuţie. Şi acolo noi avem un mare avantaj.

Dar trecând peste capabilităţile platformei, cred că cea mai importantă activitate pe care o facem noi în zona aceasta este UNbreakable România. Suntem la a cincea ediţie anul acesta, e un program ce se adresează elevilor şi studenţilor până în 25 de ani şi nu numai pentru că oricine, practic, poate să se înscrie şi acolo adresăm cam toate temele principale pe care le-ar putea întâmpina un nou candidat într-un nou job de cybersecurity, într-un nou rol. Deci, dacă îţi doreşti o carieră în cybersecurity şi vrei să devii bun pe zona de web aplication security sau pe zona de reţelistică sau pe zona de cloud, ş.a.m.d. Există teme pe care noi le atingem în toate aceste categorii şi exerciţii ce fac parte dintr-un mediu competitiv. Au o fază de pregătire, de obicei durează cam o lună de zile, în fiecare an, timp în care invităm experţi, foşti participanţi, care să-i ghideze şi să le explice tot felul de aspecte.

După care există două competiţii, online ambele - una pe echipe şi una individuală. Iar o noutate anul acesta este că cei din etapa pe echipe se mai bat într-o altă fază finală în Braşov, unde practic cele mai bune 15 echipe din UNbreakable se vor duela pentru premiile propuse. Evenimentul noi îl organizăm împreună cu cei de la Orange România în fiecare an. Este o iniţiativă în care am pus ambele organizaţii foarte mult suflet şi energie şi ne bucurăm să vedem că are succes. Să dau un exemplu, anul trecut am avut aproape 800 de elevi şi studenţi înscrişi din peste 90 de licee şi facultăţi din România. Deci a fost extraordinar de bine primit, bine reprezentat şi resursele educaţionale pe care un participant le are la dispoziţie acolo sunt exact ce mi-aş fi dorit şi eu să am când m-am apucat de cybersecurity în cu mulţi ani în urmă.

În acest an organizăm şi UNbreakable International, deci practic permitem oricărui student din afara României să participe la acest eveniment. Şi asta cumva ne ajută să intrăm în contact şi cu alte licee şi facultăţi din străinătate.