ZRP
Tuca Zbarcea & Asociatii

Top 5 greșeli comune făcute înainte sau în timpul unui incident informatic

02 Iunie 2020   |   Cristian Zaharia, Manager, Forensic, EY România

Factorii de decizie care își desfășoară chiar și o mică parte din activitatea lor prin utilizarea unor servicii și tehnologii informatice trebuie să-și adapteze strategia de securitate în funcție de specificul și natura activității întreprinse, iar apelarea la servicii profesioniste în domeniu ar putea ca pe termen lung să facă diferența între existența și prosperitatea pe piață sau disoluție.

 
 
Dinamica societății și tehnologizarea tot mai evidentă a tuturor ramurilor de care omul modern se lovește zi de zi a creat cadrul favorabil apariției și dezvoltării unui fenomen care nu mai este deloc nou în România: criminalitatea informatică. Fie că își are originea în țara noastră, fie că o “importăm”, din ce în ce mai multe persoane fizice sau juridice cad victimă și, nu de puține ori, pierderile sunt greu de recuperat.

1.     „Mie nu mi se poate întâmpla”
Este poate cea mai mare eroare pe care atât persoanele fizice, dar mai ales factorii de decizie ai unor societăți comerciale o pot face. Plecând de la premisa enunțată, acțiunile lor sunt în această direcție. Astfel, lipsa alocării unui buget în vederea protejării împotriva atacurilor informatice sau o instruire deficitară a personalului în acest sens sunt doar câteva dintre „strategiile” care transformă companiile într-o victimă sigură.

 
Concepția des întâlnită precum că, atâta timp cât nu ai nimic de ascuns și de interes pentru atacatori, ești în siguranță, este greșită. Cele mai multe dintre atacurile informatice au drept scop obținerea unor foloase materiale și, în egală măsură, a unor resurse informatice care să fie folosite ulterior în generarea altor atacuri. Practica judiciară în domeniu este bogată în cazuri în care infrastructura unor terțe societăți comerciale a fost folosită în săvârșirea unor infracțiuni informatice.

2.    Protejarea împotriva atacurilor informatice nu este o activitate care se face o dată și bine
Achiziția și configurarea inițială a unor soluții hardware și/sau software care să ajute la stoparea sau reducerea unor astfel de atacuri este o primă acțiune pe calea protejării datelor și activelor companiei. Nu este însă suficientă.

Nu de puține ori s-au întâlnit situații când licențele de antivirus erau expirate și semnăturile nu erau la zi sau regulile din firewall nu mai erau de actualitate. O practică trecută des cu vederea este acumularea de privilegii în rândul angajaților care sunt de o perioadă mai mare de timp în companie. Pe măsură ce ocupă mai multe roluri cu sarcini diferite, ei ajung într-un final să aibă mult mai multe drepturi de acces în sistemele informatice decât au nevoie. Astfel, managementul „user-ilor” este deficitar, putând facilita fie o eventuală fraudă din partea acelui angajat, fie mărirea suprafeței de atac împotriva companiei, în cazul în care contul este compromis de terțe persoane.

Poate cel mai răsunător caz generat de această greșeală este „Wannacry”, iar principala cauză care a generat acest atac a fost tocmai lipsa instalării unor update-uri de securitate menite să remedieze anumite vulnerabilități cunoscute deja de către profesioniștii în domeniu ca fiind ușor exploatabile. Rezultatul a fost un atac informatic de tip ransomware de proporții, fiind criptate peste 230.000 de calculatoare de pe întreg mapamondul, cu pierderi totale de peste 1 miliard de dolari.

3.    „Încerc să fac totul de unul singur”
Nevoia de a ține costurile sub control împinge multe companii să încredințeze management-ul soluțiilor de securitate unei persoane interne al cărei rol de zi cu zi este cu totul altul. Cel mai des întâlnit caz este acela de a apela la persoana responsabilă cu gestionarea echipamentelor de IT, care, pe parcurs, instalează și configurează și echipamentele de rețea (router/switch), firewall, soluțiile software de pe stații, cloud, etc.

Fiecare dintre tehnologiile anterior enumerate are caracteristici diferite, iar gestionarea acestora și configurarea de către o persoană care nu are pregătirea necesară reprezintă încă un risc pentru compania respectivă. De foarte multe ori, percepția că ești protejat, când în realitate ai o mare vulnerabilitate, este mai periculoasă, întrucât compania va desfășura activități și va expune în mediul online date informatice care, în alte condiții, ar fi mult mai bine protejate.

4.    Folosirea inadecvată a parolelor de acces și a altor metode de autentificare
Managementul parolelor de acces nu este un lucru ușor, mai ales când sistemele în care user-ul se va autentifica sunt multiple, politicile de complexitate și de expirare a acestora sunt diferite de la un serviciu la altul, iar persoana care le folosește nu are o pregătire minimă în legătură cu modul de păstrare al acestora.

Un exemplu des întâlnit este cel al sticky-note-urilor lipite de monitor sau agende uitate printr-o sală de conferință, conținând parolele de acces într-un anumit sistem informatic. Aceste incidente au generat adoptarea clară a unei politici de „clean desk”, care ar putea crea cadrul favorabil prin care angajații să fie instruiți pentru a nu expune parolele de acces.

5.    Lipsa unor procese clare în cazul unui incident informatic sau aplicarea lor haotică
Companiile care sunt conștiente de aceste riscuri au investit, în mod constant, în remedierea problemelor mai sus amintite. Cu toate acestea, oricât de puțin s-ar reduce suprafața de atac, oricâte tehnologii de prevenție, detecție și stopare s-ar implementa, nu toată lumea joacă după aceleași reguli. Un atac informatic se va întâmpla oricând, e doar o chestiune de timp.

Mai mult, prin Legea 362/2018 care transpune directiva europeană 1148/2016 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, toate companiile care furnizează servicii esențiale către populație trebuie să minimizeze riscurile și să ia măsuri interne manageriale și de natură tehnică, astfel încât să diminueze riscul cibernetic. Ceea ce înseamnă că vor fi obligate să bugeteze și să realizeze investiții în această direcție, având în vedere că, de multe ori, acest aspect nu a fost unul de o importanță majoră pentru managementul unui operator de servicii esențiale.

Art. 42 al acestei legi intrată în vigoare în ianuarie 2019 indică faptul că entitățile care acționează în sectoarele vizate au un termen de 2 ani în care să depună documentația de autoevaluare a îndeplinirii cerințelor minime de securitate și notificare. Sunt prevăzute și o serie de contravenții substanțiale în cazul în care, după producerea unui incident informatic grav, se constată că acea companie nu a întreprins măsurile necesare pentru a-l împiedica sau pentru a-i diminua efectele.

Producerea unui incident informatic, de orice natură ar fi el (phishing, malware infection, DDOS attack, website defacement etc.), obligă la acționarea imediată a unui plan de răspuns care să ducă la înlăturarea efectelor negative sau măcar la diminuarea lor pe cât posibil.  Nu întâmplător, la nivel internațional, au fost create mai multe cadre de reglementare a acestor situații în care sunt descrise activitățile care trebuie întreprinse.

Cele mai populare două astfel de cadre de lucru sunt cele elaborate de cǎtre NIST (National Institute of Standards and Technology) și SANS (SysAdmin, Audit, Network, and Security). Acestea nu sunt substanțial diferite, oricare dintre cele două metodologii ajută la formularea unui răspuns mai bun în cazul unui atac informatic, bazat pe un set de pași pe care oricine din organizație ar trebui să îi aplice, atunci când își propune să investească în această zonă. Sigur că aceștia trebuie adaptați specificului organizației și implementați, de preferat, înaintea producerii unui atac informatic.

Conștientizăm greșelile: care este următorul pas?

Unele dintre aspectele menționate mai sus sunt ușor de remediat, necesitând doar o conștientizare mai mare din partea factorilor de decizie dintr-o companie a pericolelor la care o expun atunci când aplică ceea ce mulți specialiști consideră a fi o strategie cunoscuta drept „security through obscurity”.

În baza acesteia, mecanismele de securitate sunt cunoscute doar de către membrii care o aplică și o folosesc, iar un eventual atac informatic ar putea reuși doar dacă acestea sunt cunoscute, lucru considerat puțin probabil. Practica a dovedit că această strategie este drumul sigur către o țintă ușoară a hackerilor.

Dinamica atacurilor informatice și versatilitatea lor fac imposibilă aplicarea unei rețete universale care să funcționeze ca un „panaceu”. Factorii de decizie care își desfășoară chiar și o mică parte din activitatea lor prin utilizarea unor servicii și tehnologii informatice trebuie să-și adapteze strategia de securitate în funcție de specificul și natura activității întreprinse, iar apelarea la servicii profesioniste în domeniu ar putea ca pe termen lung să facă diferența între existența și prosperitatea pe piață sau disoluție.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii


Articol 8875 / 9603
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
BizLawyer îi prezintă pe avocații care au devenit parteneri în ultimele runde de promovări | De vorbă cu Andrei Cosma (BACIU PARTNERS), revenit în avocatura locală după ce a activat ca general counsel pentru o firmă de tehnologie din Malta: ”Cred că succesul în avocatură apare atunci când un avocat înțelege cu adevărat distincția - și îmbinarea - dintre profesia de avocat și avocatura ca business. Ambele concepte au o importanță de sine stătătoare și trebuie creată o simbioză pentru a tinde spre succes”
Women Lawyers | Pentru Mateea Codreanu, apartenența la echipa Mușat & Asociații, în care a evoluat până la poziția de Partener, a fost decisivă în formarea sa: ”Este o provocare să începi parcursul avocațial ca avocat stagiar într-o firmă de avocatură lider, dar totodată și o premisă pentru o dezvoltare profesională rapidă”
Liviu Togan părăsește Dentons, unde coordona practica de drept penal și investigații și se alătură din nou firmei Mușat & Asociații, pe poziția de Partner: “Revin în cadrul unei echipe pe care o cunosc și în care am încredere”
LMG Life Sciences Awards EMEA 2025 | Kinstellar, Muşat & Asociaţii, NNDKP și Popescu & Asociații, pe lista scurtă din care va fi aleasă peste câteva zile ”South East Europe Firm of the Year”. Popescu & Asociații concurează cu patru firme internaționale de top pentru titlul de ”White Collar Crime Firm of the Year”, iar unul dintre partenerii săi, Mirel Rădescu, este printre cei patru finaliști la categoria ”White Collar Crime Lawyer of the Year”
Avocații Kinstellar spun că semnalul cel mai pregnant din ultima perioadă e dat de proiectele de reorganizare și apreciază că anul acesta va crește numărul companiilor care fac disponibilizări masive. Clienții sunt interesați de consolidarea politicilor privind prevenirea și combaterea hărțuirii la locul de muncă, precum și de regândirea modului de organizare a muncii, pe fondul unei tendințe de creștere a volumului de cauze privind litigiile de muncă | Activitate intensă în practica de Employment, evidențiată de ghidurile juridice internaționale, cu mandate diverse și o echipă expusă la proiecte cu un caracter multidisciplinar
GNP obține o soluție favorabilă pentru un operator de platformă, ce ar putea să contureze o practică constantă și predictibilă, în baza căreia autoritățile de reglementare naționale vor analiza întinderea răspunderii furnizorilor de servicii intermediare. Problemele juridice ridicate în acest litigiu vizează în principal modul de interpretare și aplicare a reglementărilor din Regimul eCommerce și DSA | Avocații Octavian Adam (Partener), Cristina Badea (Senior Associate) și Alice Moisac (Associate), în prim plan
Rising Stars | Eduard Morariu, unul dintre cei mai buni absolvenți ai generației 2022, a ales să profeseze ca avocat la Filip & Company, unde urmărește să se dezvolte în câteva dintre ramurile mai „nișate” ale Dreptului: „Parcursul meu a presupus implicarea în multe dosare de instanță și arbitraj, unele chiar de importanță națională, cu probleme de drept sensibile, dar și cu echipe de avocați excepționali, care le-au făcut față cu o măiestrie la care nu pot decât să aspir”
Cum lucrează echipele Băncilă, Diaconu și Asociații (EY Law) și Grants & Incentives Avisory (EY), în proiectele care vizează accesarea ajutoarelor de stat, în care au o rată de succes mai mare de 90% | Ramificarea multidisciplinară a expertizei permite echipei să ofere clienților o viziune completă asupra pașilor de parcurs și modului în care pot implementa soluțiile propuse, astfel încât să obțină cele mai mari beneficii. Ce servicii integrate asigură clienților și care sunt strategiile pentru maximizarea șanselor de obținere a fondurilor
OMV Aktiengesellschaft a mers pe mâna avocaților de la ZRVP într-un alt arbitraj ICC cu statul român și a câștigat încă 47 mil. €, plus dobânzi. Pretenții de alte 50 mil. € la orizont, într-o procedură nouă, inițiată în decembrie 2024, în care lucrează deja aceeași echipă de avocați
PNSA susține juridic Turneul Internațional Stradivarius
Premieră juridică în România | Popescu & Asociații obține prima despăgubire integrală pentru expropriere: peste 60 mil. lei pentru Viorelo International. Succesul este rezultatul unei strategii juridice riguroase, elaborate și implementate de o echipă interdisciplinară de specialiști
Premieră pe piața avocaturii din România: NNDKP, desemnată pentru a șaptea oară „Firma de avocatură a anului în România” la gala premiilor Chambers Europe 2025. | Ion Nestor, Co-Managing Partner: ” Această recunoaștere, care vine în anul în care sărbătorim 35 de ani de activitate, reprezintă încă o confirmare a poziției de top pe care NNDKP o ocupă pe piața avocaturii din România și validează munca, performanța și rezultatele excelente obținute de întreaga echipă”
 
Citeste pe SeeNews Digital Network
  • BizBanker

  • BizLeader

      in curand...
  • SeeNews

    in curand...