Am lucrat timp de 14 ani și jumătate într-una dintre cele mai mari companii de IT din lume, perioadă urmată de 6 ani de antreprenoriat în care am menținut o strânsă legătură cu zona de IT. În acest timp, am ajuns să consider securitatea IT ca parte necesară a fundației oricărei organizații, publică sau privată, din această lume. Nu ai cum să începi să dezvolți o afacere fără să ai asigurată zona de securitate IT; pentru simplul fapt că ești scos din business cât ai spune „nu cred că mie mi se poate întâmpla așa ceva”. O, ba da, și încă cum...
Să ne uităm la câteva cifre:
• La fiecare 39 de secunde există un atac de hacking.
• 92% din atacurile cu malware vin pe email.
• Unei companii îi ia în medie peste 49 de zile să identifice un atac de ransomware.
• 97% din vulnerabilitățile de securitate sunt în plugin-uri Wordpress.
• Lucrul de acasă sau de la distanță crește riscul de atac cibernetic, consideră 74% din experții IT.
• 52% din atacurile cibernetice asupra IMM-urilor au fost cauzate de erori umane.
• 98% dintre atacurile cibernetice asupra IMM-urilor au avut în spate o motivație financiară.
• 47% dintre IMM-uri au fost victime ale unor atacuri cibernetice (deși multe habar nu au nici acum).
Ce arată acest lucru: piața s-a schimbat. Dacă pe vremuri atacurile cibernetice aveau loc asupra unor companii sau instituții mari, astăzi cu toții suntem ținte. De ce? Fiindcă este extrem, extrem de profitabil. Prețul mediu al unei „decriptări” de bază de date criptată, plătit direct hacker-ului prin monede crypto (este ilegal să plătești hacker-ul, dar vedem imediat de ce) variază între 10.000$ și 20.000 $. Credențialele de acces se vând foarte bine pe darkweb, la fel și bazele de date furate.
Practic, vorbim de o piață uriașă, în care hackerii colaborează între ei, se organizează în organizații autonome descentralizate (DAO-uri) și acționează sincron pentru șanse de reușită crescute. Se instruiesc unii pe alții, oferă suport, și da, sunt eficienți. Sunt greu de prins și autoritățile fac cu greu față atacurilor din ce în ce mai complexe. Deci da, suntem ținte.
Odată cu expansiunea rețelelor sociale, lucrurile s-au complicat semnificativ. Lumea a început să posteze poze din vacanțe, poze de la serviciu, selfie-uri, probleme de familie, probleme de sănătate, probleme de la birou, situații, detalii despre colegi etc. Toate aceste postări sunt vizibile, mai mult sau mai puțin oricui. Drept urmare, așa cum prietenii, fanii, familia și comunitatea se uită la ele, se uită și cei care nu neapărat vă doresc binele. Și vă profilează, manual sau automat. Se creează arbori de relații, informații despre familie, sănătate, vacanțe etc., informații care sunt apoi folosite împotriva voastră – vedeți mai jos cum.
Un prim sfat, deci, ar fi să fim cu toții mai cumpătați în legătură cu ce anume share-uim pe rețelele sociale. Orice informație poate fi folosită de către un hacker într-o acțiune mai complexă de phishing combinată cu social engineering clasic. Cumpătarea de fapt este cuvântul cheie în protejarea confidențialității datelor noastre, ale angajaților noștri, ale clienților și partenerilor noștri. Despre cumpătarea în prelucrarea datelor personale am vorbit în articolul precedent, recomand să îl citiți.
În primul rând să analizăm ce înseamnă „informație”. Informația poate fi în formă scrisă (pe medii fizice sau pe medii electronice) sau orală. Informații orale sunt bârfele, zvonurile, anunțurile, știrile auzite, comunicările cu diverși oameni. Dacă nu sunt scrise undeva, ele rămân la categoria „informații orale” și protejarea lor înseamnă să nu le dai mai departe pe „radio șanț” sau mai rău, cui nu trebuie să le audă.
Protecția informației scrise înseamnă asigurarea confidențialității, integrității și a disponibilității. Când una din cele trei este afectată, avem de-a face cu o problemă de securitate a informației. Deci trebuie să ne concentrăm eforturile să asigurăm toate cele trei condiții ale protecției informației, atât pentru informațiile aflate pe medii fizice (hârtii, dosare, cartoane, hârtii fax, AWB-uri etc) cât și pentru informațiile digitale. Și da, toate acestea țin de departamentul IT, inclusiv protecția informațiilor aflate pe medii fizice.
Mi se pare absolut incredibil că ori de câte ori mă duc la un restaurant, cafenea sau bar unde prestează corporatiștii, aud minim o discuție confidențială în care sunt dezvăluite informații sensibile. Astăzi, de exemplu, am auzit la o cafenea discuții despre problemele de securitate existente într-una din aplicațiile business-critical ale unei bine-cunoscute firme din zona financiară. Detalii tehnice, detalii despre vulnerabilități, multe informații ce mi-ar fi permis să exploatez cu succes acea vulnerabilitate. În alte dăți am auzit informații despre salarii, bonusuri, oameni ce urmau a fi dați afară, investiții, preluări, numiri în funcții etc. Oamenii se simt extrem de confortabil să discute chestii super-sensibile în public, de parcă ar fi la birou într-o sală izolată fonic și electronic.
Cum prevenim astfel de comportamente? Politici, proceduri și training. Ok, în ordinea corectă: Training, testare, politici și proceduri. Recomand ca trainingul să fie livrat de cineva extern organizației, care poate să dea exemple concrete de încălcări ale confidențialității și de efectele negative generate ale acestor încălcări.
Politica de clasificare a informațiilor sau politica de confidențialitate ar trebui să includă astfel un paragraf care să detalieze, în funcție de clasificarea informației (de exemplu informații publice, restricționate, confidențiale, uz intern) cine poate avea acces la informații, în ce condiții (de exemplu în camere izolate fonic în care să nu se afle persoane ne-autorizate) și ce poate să facă cu ele. Astfel de politici pot fi apoi adăugate într-un capitol dedicat protecției datelor personale sau a informațiilor confidențiale, chiar în Regulamentul de Ordine Interioară.
Da, informațiile transmise aiurea pe cale orală pot distruge o organizație.
Începem aici prin a trata cazul informațiilor scrise pe medii fizice, gen hârtie, carton, hârtie de fax etc. Precum spuneam, trebuie să implementăm controale necesare pentru a asigura confidențialitatea, disponibilitatea și integritatea informațiilor. Am continuat cu gestiunea informațiilor scrise pe medii fizice fiindcă mi se pare incredibil cum mulți când vorbesc de securitatea informației se gândesc doar la securitatea datelor electronice. Am văzut cum informațiile pe cale orală pot distruge o organizație, să vedem acum cum poate fi afectată securitatea informațiilor scrise pe medii fizice.
Afectarea confidențialității. La momentul scrierii acestui articol, pe piață există telefoane cu zoom de peste 100x și cu zoom optic de 20x. Acest lucru înseamnă că dacă eu intru cu un astfel de telefon în buzunarul de la piept și trec printre birouri, pot fotografia toate informațiile confidențiale aflate pe hârtiile uitate pe birouri. Majoritatea birourilor din firme sunt pline de hârtii, copii de contracte, facturi, decizii și alte informații confidențiale. Orice „curier” care trece printre birouri poate să radă tot într-o singură tură. De asemenea, un factor uriaș de risc este imprimanta de rețea, sau imprimanta share-uită cu toți angajații. Lumea tipărește și uită, lasă foile în imprimantă și oricine le poate lua de acolo. Și mulți chiar le iau de acolo în scop malițios. Să nu uităm de angajații care vor să facă glume și pozează foi aflate în imprimantă, foi aflate pe birouri și apoi pun aceste poze pe rețele sociale. O astfel de glumă a dus la o amendă uriașă GDPR în România, amendă menținută în instanță.
Măsuri de protejare a confidențialității. Din nou, educație. Training-uri, email-uri de conștientizare, expunerea unor situații concrete. Apoi, implementarea procedurii de „birou curat, ecran curat” – când te ridici de la birou pui toate foile în biblioraft sau în sertare, blochezi ecranul calculatorului. Imprimante ce solicită badge sau login ca să poți tipări, dacă vorbim de imprimante shared. Dulapuri și sertare cu cheie, astfel încât un număr limitat de angajați să aibă acces la informațiile scrise, în funcție de nevoi.
Afectarea disponibilității și a integrității. În cazul informațiilor scrise pe suport fizic, suportul în sine înseamnă informația deci distrugerea totală sau parțială a suportului înseamnă distrugerea totală sau parțială a informației. Încă văd la multe firme arhive păstrate în subsoluri insalubre, umede, cu temperaturi variabile. Hârtia, dragii mei, se distruge. Nu mai vorbim de hârtii din acelea pe care se scriau vechile lucrări, hârtii bine păstrate până în ziua de azi, ci de hârtii care se distrug. Umezeala, temperatura variabilă, insectele și rozătoarele distrug hârtiile. Dacă șoarecii mănâncă facturile păstrate în original de acum 7 ani și dacă nu le avem în format electronic, avem un data breach cu consecințe legale serioase. Dacă avem o inundație în subsol și se pierd copii ale dosarelor de muncă ale foștilor angajați, iar avem un data breach cu consecințe legale serioase. Nu mai zic de incendii, prăbușiri etc.
Măsuri de protejare a disponibilității și integrității. Dacă avem arhivă internă, trebuie să ne asigurăm că ea este făcută conform standardelor internaționale. Trebuie controlată temperatura, umiditatea, sisteme anti-incendiu care să nu distrugă hârtiile și trebuie ca cineva să primească instant alerte când ceva se întâmplă. Dacă nu ne permitem o arhivă internă, trebuie să contactăm o firmă de arhivare care se ocupă cu astfel de procese și care au experiență în gestiunea arhivelor fizice.
Atenție, paranoia pe care o avem în cazul protecției informațiilor electronice trebuie să o avem și în cazul protecției informațiilor scrise pe medii fizice. Cele mai puțin probabile incidente se pot întâmpla, cum a fost cazul în care niște hoți au furat un dulap în care se aflau dosarele de personal ale angajaților unei firme. Firma a luat amendă GDPR pentru că nu a luat măsurile tehnice și organizaționale necesare protejării datelor personale din dosarele de personal, afectând atât confidențialitatea cât și disponibilitatea și integritatea datelor personale.
S-au scris mii de lucrări și tratate privind securitatea informațiilor electronice, din păcate ele nu sunt citite. Nici măcar ghidurile de bază ale Directoratului Național de Securitate Cibernetică (DNSC) nu sunt citite și este păcat, s-ar evita cel puțin jumătate din atacurile cibernetice de succes de astăzi.
Informațiile în format electronic rezidă pe dischete (da, încă mai există), CD-uri, DVD-uri, hard-disk-uri, pe storage-ul tabletelor, a telefoanelor mobile, a ceasurilor inteligente, a computerelor din noile automobile, pe servere locale, pe servere aflate la hosteri, în cloud. Multe dintre informații au și back-up (așa cum ar trebui să aibă toate), drept urmare se află în mai multe locații. În cazul informațiilor în format electronic, acestea nu se mai identifică cu suportul de date. Copierea informațiilor nu lasă urme fizice, drept urmare este rolul sistemului informatic să gestioneze trasabilitatea informației, prin așa numitele „loguri” – jurnale digitale prin care accesul, modificările, acțiunile de copiere, ștergere sunt înregistrate împreună cu identitatea utilizatorului sau a utilizatorilor și cu data și ora exactă a acțiunilor. Jurnalizarea accesului la informație este cheie pentru a stabili exact trasabilitatea datelor și a accesului la date și pentru a responsabiliza utilizatorii sistemului informatic – indiferent dacă ei sunt angajați, parteneri sau clienți.
Din nou, și aici vorbim de confidențialitate, integritate și disponibilitate. Să vedem cum pot fi afectate oricare din aceste componente importante ale securității datelor și ce măsuri putem lua.
Afectarea confidențialității. Informațiile fiind disponibile pe o paletă largă de dispozitive de stocare și de sisteme informatice, riscurile de afectare a confidențialității datelor sunt cele mai crescute din punct de vedere al probabilității de manifestare. Cel mai des confidențialitatea datelor este afectată din cauza accidentelor sau a incidentelor de natură umană:
Însă din păcate și ignoranța își spune cuvântul aici și mulți uită să ia cele mai simple măsuri de securitate: update-ul software-urilor folosite, update-ul antivirușilor, limitarea accesului la informații confidențiale, jurnalizarea accesului, criptarea mediilor de stocare.
Să ne înțelegem: când confidențialitatea informațiilor este afectată, firma va ajunge să plătească amenzi (cum ar fi amenzile GDPR) și despăgubiri companiilor și persoanelor afectate, dar va pierde încrederea clienților și a partenerilor. Sunt enorm de multe cazuri în care astfel de data breach-uri ce au dus la expunerea datelor au dus la distrugerea companiilor la care au avut loc incidentele.
Măsuri de protejare a confidențialității. Dincolo de accidente și incidente, există multe atacuri asupra confidențialității informațiilor (informațiile valorează enorm de mult pe darkweb) ce vin din exterior prin intermediul atacurilor de phishing și social engineering. Practic oamenii sunt păcăliți să facă click pe diverse link-uri sau pe diverse iconițe din email ce seamănă cu atașamente Excel sau PDF. Apoi se instalează un malware sau site-ul pe care au intrat seamănă cu un site valid și oamenii își bagă datele de acces sau detaliile bancare, moment în care lucrurile se complică semnificativ.
Drept urmare, ați ghicit prima măsură: educația! Da, din nou training-uri care să facă angajații să înțeleagă unde pot și unde nu pot face click, și că dacă o ofertă arată prea bine înseamnă că acolo e ceva sigur dubios. Nu, nu va câștiga nimeni 100.000 EUR dacă își dă datele undeva.
În al doilea rând, sisteme business sau enterprise (nu de uz casnic) de antivirus și antimalware. Marea majoritate a ofertanților de antiviruși/antimalware au abonamente lunare, care sunt cheltuieli OPEX și nu CAPEX, deci recomand să se ia un antivirus de calitate care să acopere și calculatoarele, și serverele și telefoanele mobile.
Calculatoarele trebuie să aibă sisteme de operare business/enterprise (din nou, nu ediții casnice gen Home Edition), suite de productivitate de business, posibilitatea de a cripta hard-disk-ul (pe Windows există tehnologia BitLocker, pe Macbook există tehnologia FileVault; ambele trebuie activate). Gestiunea calculatoarelor se poate face prin software-uri de gestiune gen Active Directory (sau Microsoft Entra ID, fostul Azure Active Directory), OpenLDAP. Fiecare calculator are nevoie de cont și parolă, loguri și control acces. Și da, repet, hard-diskul să fie criptat. Software-urile să aibă automatic updates activate și să fie la zi.
Telefoanele mobile trebuie să fie criptate, gestionate printr-un sistem de MDM (Mobile Device Management), chiar dacă este unul basic ce permite să zicem doar resetarea dispozitivului de la distanță și impunerea unor parole puternice de acces. Odată ce email-urile vin pe telefon, acesta trebuie să poată fi gestionat, chiar dacă dispozitivul este în proprietatea angajatului.
Și apropo de dispozitive personale, vorbim aici de politica de BYOD (Bring Your Own Device) sau politica de dispozitive personale. Da, sunt situații în care angajații își pot folosi dispozitivele personale la lucru, însă trebuie să existe un anumit nivel de control al companiei care însă să nu afecteze intimitatea angajatului într-un mod intruziv.
Site-ul web al firmei trebuie securizat, updatat, accesul trebuie jurnalizat, vulnerabilitățile trebuie îndepărtate. De aceea trebuie să insist că dacă business-ul vostru depinde de website, investiți în hosting, securitate și mentenanță. Da, costă, dar dacă site-ul sau aplicațiile de pe site sunt afectate, business-ul vostru dispare peste noapte. Hosting bun, securitate puternică, liste de acces, acces jurnalizat. Investiți în protejarea business-ului vostru și a cashflow-ului vostru.
Mai am un sfat extrem de util: limitați utilizarea email-ului în interiorul firmei, între angajați. Email-ul este un sistem de comunicare arhaic, în care odată ce ai trimis un mesaj este aproape imposibil să îl oprești din a fi diseminat. Folosiți sisteme de mesagerie Enterprise precum Microsoft Teams, Slack (de business), Google Chat etc. – sisteme ce permit partajarea de documente, formarea de echipe ad-hoc, preluarea live a informațiilor și multe altele. Și evită situațiile în care din greșeală vrei să trimiți un email Mariei de la contabilitate și îl trimiți Mariei de la client.
Afectarea disponibilității și a integrității. În cazul în care datele nu mai sunt disponibile, vin autoritățile – ANAF, ITM, ANSPDCP etc. și vă bagă amenzi sau vă auditează afacerea. Orice companie este obligată să respecte legislația română și implicit cerințele de arhivare a informațiilor ce vin din diverse legi precum codul fiscal sau codul muncii.
Disponibilitatea sau integritatea pot fi afectate în urma unor atacuri de ransomware ce criptează integral sau parțial datele din sistemul informatic al firmei. Dacă nu le poți recupera, fie plătești ca să obții cheia de decriptare, fie le declari pierdute și îți asumi consecințele. Ambele opțiuni sunt nasoale, în cazul plății fiind riscul de susținere al terorismului, lucru care îți aduce o discuție cu cei de la DIICOT.
Măsuri de protejare a disponibilității și a integrității. În cazul datelor în format electronic, disponibilitatea este asigurată de redundanța datelor. Adică back-up. Cel mai simplu și mai eficient back-up este asigurat de sistemele de cloud-computing care sunt concepute să ofere reziliență și disponibilitate. În cazul serverelor de email și de documente aflate în cloud, cele mai utilizate soluții Sunt Microsoft 365 și Google Workspace. Ambele oferă facilități avansate de securitate, disponibilitate, redundanță și jurnalizare. La ora actuală, un abonament la oricare din aceste platforme costă cât două pachete de țigări pe lună. Bineînțeles, mai configurezi, dar sunt extrem de ușor de folosit.
Nu intru în discuția despre sistemele avansate de back-up incremental, dar alegerea sistemului de back-up trebuie făcută luându-se în considerare toate riscurile posibile ce se pot manifesta.
Sunt subiectiv aici, activând în zona de consultanță, însă mult prea puține organizații înțeleg importanța consultanței în zona de protejare a informațiilor. La ora actuală cele mai importante asset-uri ale unei organizații sunt datele și ele sunt vânate de hackeri și de competiție. Dacă ele sunt distruse, alterate sau expuse, organizațiile pierd încrederea clienților și a partenerilor și implicit pierd bani. Totul se reduce la bani și la business pierdut.
Da, contactați un consultant experimentat în protecția datelor. Dacă nu vine cu avioane de zeci sau sute de mii de EUR către voi, merită să lucrați cu el. Aflați pe unde a mai activat și ce povești cu hackeri sau cu accidente și incidente de securitate are. Cu cât mai multe, cu atât mai bine – experiența este de aur aici.
Lucrurile se vor complica, atacurile vor deveni din ce în ce mai complexe. De aceea un minim de investiții în securitatea IT și în educația angajaților poate să facă diferența.
Link-uri utile:
Tudor Galos
Tudor este consultant în protecția datelor având o experiență de peste 20 de ani în business. De șase ani conduce cabinetul de consultanță Tudor Galoș Consulting, lucrând cu o echipă care adresează peste 200 de clienți din Europa, Statele Unite, Marea Britanie și Orientul Mijlociu. Are o certificare europeană de Data Protection Officer obținută la European Center for Privacy and Cybersecurity din cadrul Maastricht University – Faculty of Law, este autorul unui curs DPO acreditat la Ministerul Muncii și Solidarității Sociale și a două cursuri online de GDPR cu peste 15.000 de participanți. Este speaker la evenimente internaționale unde prezintă soluții ce adresează cele mai noi provocări de privacy din domeniile Big Data, Inteligență Artificială, Cloud Computing, Blockchain.
