Dinamica societatii si tehnologizarea tot mai evidenta a tuturor ramurilor de care omul modern se loveste zi de zi a creat cadrul favorabil aparitiei si dezvoltarii unui fenomen care nu mai este deloc nou in Romania: criminalitatea informatica. Fie ca isi are originea in tara noastra, fie ca o “importam”, din ce in ce mai multe persoane fizice sau juridice cad victima si, nu de putine ori, pierderile sunt greu de recuperat.
1. „Mie nu mi se poate intampla”
Este poate cea mai mare eroare pe care atat persoanele fizice, dar mai ales factorii de decizie ai unor societati comerciale o pot face. Plecand de la premisa enuntata, actiunile lor sunt in aceasta directie. Astfel, lipsa alocarii unui buget in vederea protejarii impotriva atacurilor informatice sau o instruire deficitara a personalului in acest sens sunt doar cateva dintre „strategiile” care transforma companiile intr-o victima sigura.
Conceptia des intalnita precum ca, atata timp cat nu ai nimic de ascuns si de interes pentru atacatori, esti in siguranta, este gresita. Cele mai multe dintre atacurile informatice au drept scop obtinerea unor foloase materiale si, in egala masura, a unor resurse informatice care sa fie folosite ulterior in generarea altor atacuri. Practica judiciara in domeniu este bogata in cazuri in care infrastructura unor terte societati comerciale a fost folosita in savarsirea unor infractiuni informatice.
2. Protejarea impotriva atacurilor informatice nu este o activitate care se face o data si bine
Achizitia si configurarea initiala a unor solutii hardware si/sau software care sa ajute la stoparea sau reducerea unor astfel de atacuri este o prima actiune pe calea protejarii datelor si activelor companiei. Nu este insa suficienta.
Nu de putine ori s-au intalnit situatii cand licentele de antivirus erau expirate si semnaturile nu erau la zi sau regulile din firewall nu mai erau de actualitate. O practica trecuta des cu vederea este acumularea de privilegii in randul angajatilor care sunt de o perioada mai mare de timp in companie. Pe masura ce ocupa mai multe roluri cu sarcini diferite, ei ajung intr-un final sa aiba mult mai multe drepturi de acces in sistemele informatice decat au nevoie. Astfel, managementul „user-ilor” este deficitar, putand facilita fie o eventuala frauda din partea acelui angajat, fie marirea suprafetei de atac impotriva companiei, in cazul in care contul este compromis de terte persoane.
Poate cel mai rasunator caz generat de aceasta greseala este „Wannacry”, iar principala cauza care a generat acest atac a fost tocmai lipsa instalarii unor update-uri de securitate menite sa remedieze anumite vulnerabilitati cunoscute deja de catre profesionistii in domeniu ca fiind usor exploatabile. Rezultatul a fost un atac informatic de tip ransomware de proportii, fiind criptate peste 230.000 de calculatoare de pe intreg mapamondul, cu pierderi totale de peste 1 miliard de dolari.
3. „Incerc sa fac totul de unul singur”
Nevoia de a tine costurile sub control impinge multe companii sa incredinteze management-ul solutiilor de securitate unei persoane interne al carei rol de zi cu zi este cu totul altul. Cel mai des intalnit caz este acela de a apela la persoana responsabila cu gestionarea echipamentelor de IT, care, pe parcurs, instaleaza si configureaza si echipamentele de retea (router/switch), firewall, solutiile software de pe statii, cloud, etc.
Fiecare dintre tehnologiile anterior enumerate are caracteristici diferite, iar gestionarea acestora si configurarea de catre o persoana care nu are pregatirea necesara reprezinta inca un risc pentru compania respectiva. De foarte multe ori, perceptia ca esti protejat, cand in realitate ai o mare vulnerabilitate, este mai periculoasa, intrucat compania va desfasura activitati si va expune in mediul online date informatice care, in alte conditii, ar fi mult mai bine protejate.
4. Folosirea inadecvata a parolelor de acces si a altor metode de autentificare
Managementul parolelor de acces nu este un lucru usor, mai ales cand sistemele in care user-ul se va autentifica sunt multiple, politicile de complexitate si de expirare a acestora sunt diferite de la un serviciu la altul, iar persoana care le foloseste nu are o pregatire minima in legatura cu modul de pastrare al acestora.
Un exemplu des intalnit este cel al sticky-note-urilor lipite de monitor sau agende uitate printr-o sala de conferinta, continand parolele de acces intr-un anumit sistem informatic. Aceste incidente au generat adoptarea clara a unei politici de „clean desk”, care ar putea crea cadrul favorabil prin care angajatii sa fie instruiti pentru a nu expune parolele de acces.
5. Lipsa unor procese clare in cazul unui incident informatic sau aplicarea lor haotica
Companiile care sunt constiente de aceste riscuri au investit, in mod constant, in remedierea problemelor mai sus amintite. Cu toate acestea, oricat de putin s-ar reduce suprafata de atac, oricate tehnologii de preventie, detectie si stopare s-ar implementa, nu toata lumea joaca dupa aceleasi reguli. Un atac informatic se va intampla oricand, e doar o chestiune de timp.
Mai mult, prin Legea 362/2018 care transpune directiva europeana 1148/2016 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, toate companiile care furnizeaza servicii esentiale catre populatie trebuie sa minimizeze riscurile si sa ia masuri interne manageriale si de natura tehnica, astfel incat sa diminueze riscul cibernetic. Ceea ce inseamna ca vor fi obligate sa bugeteze si sa realizeze investitii in aceasta directie, avand in vedere ca, de multe ori, acest aspect nu a fost unul de o importanta majora pentru managementul unui operator de servicii esentiale.
Art. 42 al acestei legi intrata in vigoare in ianuarie 2019 indica faptul ca entitatile care actioneaza in sectoarele vizate au un termen de 2 ani in care sa depuna documentatia de autoevaluare a indeplinirii cerintelor minime de securitate si notificare. Sunt prevazute si o serie de contraventii substantiale in cazul in care, dupa producerea unui incident informatic grav, se constata ca acea companie nu a intreprins masurile necesare pentru a-l impiedica sau pentru a-i diminua efectele.
Producerea unui incident informatic, de orice natura ar fi el (phishing, malware infection, DDOS attack, website defacement etc.), obliga la actionarea imediata a unui plan de raspuns care sa duca la inlaturarea efectelor negative sau macar la diminuarea lor pe cat posibil. Nu intamplator, la nivel international, au fost create mai multe cadre de reglementare a acestor situatii in care sunt descrise activitatile care trebuie intreprinse.
Cele mai populare doua astfel de cadre de lucru sunt cele elaborate de catre NIST (National Institute of Standards and Technology) si SANS (SysAdmin, Audit, Network, and Security). Acestea nu sunt substantial diferite, oricare dintre cele doua metodologii ajuta la formularea unui raspuns mai bun in cazul unui atac informatic, bazat pe un set de pasi pe care oricine din organizatie ar trebui sa ii aplice, atunci cand isi propune sa investeasca in aceasta zona. Sigur ca acestia trebuie adaptati specificului organizatiei si implementati, de preferat, inaintea producerii unui atac informatic.
Constientizam greselile: care este urmatorul pas?
Unele dintre aspectele mentionate mai sus sunt usor de remediat, necesitand doar o constientizare mai mare din partea factorilor de decizie dintr-o companie a pericolelor la care o expun atunci cand aplica ceea ce multi specialisti considera a fi o strategie cunoscuta drept „security through obscurity”.
In baza acesteia, mecanismele de securitate sunt cunoscute doar de catre membrii care o aplica si o folosesc, iar un eventual atac informatic ar putea reusi doar daca acestea sunt cunoscute, lucru considerat putin probabil. Practica a dovedit ca aceasta strategie este drumul sigur catre o tinta usoara a hackerilor.
Dinamica atacurilor informatice si versatilitatea lor fac imposibila aplicarea unei retete universale care sa functioneze ca un „panaceu”. Factorii de decizie care isi desfasoara chiar si o mica parte din activitatea lor prin utilizarea unor servicii si tehnologii informatice trebuie sa-si adapteze strategia de securitate in functie de specificul si natura activitatii intreprinse, iar apelarea la servicii profesioniste in domeniu ar putea ca pe termen lung sa faca diferenta intre existenta si prosperitatea pe piata sau disolutie.
*** Articol realizat de Cristian Zaharia, Manager Forensic, EY Romania